HTML Smuggling: Como esta técnica tem propagado malwares?
Anonymous
December 5, 2024
Já ouviu falar em HTML Smuggling?
É uma técnica de entrega de malware altamente evasiva que aproveita recursos legítimos de HTML5 e JavaScript, é cada vez mais usado em campanhas de e-mail que implantam malware bancário, cavalos de Troia de acesso remoto (RATs) e outras cargas relacionadas a ataques direcionados.
Esta técnica permite que um invasor “contrabandeie” um script malicioso codificado em um anexo ou página da Web especialmente criado. Quando um usuário de destino abre o HTML em seu navegador da Web, o navegador decodifica o script malicioso, que, por sua vez, monta a carga no dispositivo host. Assim, em vez de um executável malicioso passar diretamente por uma rede, o invasor cria o malware localmente atrás de um firewall.
Vamos ao desenho, para ficar mais claro:
Como ela funciona na prática?
Esta técnica usa recursos legítimos de HTML5 e JavaScript, ambos suportados por todos os navegadores modernos, para gerar arquivos maliciosos por trás do firewall. Especificamente, o contrabando de HTML aproveita o atributo “download” do HTML5 para tags de âncora, bem como a criação e o uso de um JavaScript Blob para reunir a carga útil baixada em um dispositivo afetado.
Em HTML5, quando um usuário clica em um link, o atributo “download” permite que um arquivo HTML baixe automaticamente um arquivo referenciado na tag “href”. Por exemplo, o código abaixo instrui o navegador a baixar “malicious.docx” de seu local e salvá-lo no dispositivo como “safe.docx”
atributo “download” de um arquivo também têm seus equivalentes no código JavaScript, conforme mostrado abaixo:
O uso de JavaScript Blobs aumenta o aspecto de “contrabando” da técnica. Um JavaScript Blob armazena os dados codificados de um arquivo, que é então decodificado quando passado para uma API JavaScript que espera uma URL. Isso significa que, em vez de fornecer um link para um arquivo real no qual um usuário deve clicar manualmente para fazer o download, o referido arquivo pode ser baixado automaticamente e construído localmente no dispositivo usando códigos JavaScript como os abaixo:
EXEMPLO REAL RECENTE:
Voltamos a uma imagem para ficar mais claro:
Como podemos nos proteger contra as ameaças que usam a técnica HTML Smuggling?
No seu Firewall (Web Control | Proxy)
1. Ter habilitado o filtro antimalware para o tráfego web (https, ftp, sftp, pop3, smtp, etc)
2. Ativar os recursos Safe-link (antiphishing) que são executado no momento do acesso à URLs eventualmente infectadas
3. Restringir a navegação WEB para servidores, bem como bloquear o download de arquivos
a. Isto vai ajudar a impedir o download de malwares e atividades de controle (C2 activity)
Nos seus Endpoints:
1. Ter um produto de EDR (endpoint detection and response) ou EPP (endpoint protection plataforma) capaz de identificar, remediar e responder à eventuais ameaças de forma automática
2. Habilitar filtro de pacotes do tráfego WEB (https, ftp, smtp, etc)
3. Habilitar proteção contra scripts “ofuscados”
4. Habilitar controle de privilégio de aplicativos
5. Bloquear execução de Javascript ou VB Script de conteúdos baixados
6. Habilitar controle de aplicativos
a. O melhor cenário é utilizar a forma de “Whitelist”. Ou seja, bloqueia qualquer aplicativo, exceto a lista de confiáveis
No seu gateway de email:
Habilitar Sandbox para
Análise de URLs
Análise de Anexos
Configurar proteção contra
Spoofed emails
Anexos maliciosos
Habilitar módulo de Target Attack prevention, com capacidade de identificar e bloquear ataques direcionados através de Machine Learning e A.I, não somente através de assinaturas e patterns
Educar os colaboradores
1. Não conceder acesso com privilégio administrativo
2. Incentivar a utilização de navegador seguro, que também tenha filtro contra sites maliciosos
3. Não permitir que usuários possam desabilitar módulos do EPP/EDR
4. Incentivar que não abram arquivos/anexos com a extensão .JS / .JSE
5. Trabalhar na educação através de plataformas de treinamento contra phishings e ataques por email