新型ボットネット攻撃はwebページを閉じても実行され続ける
皆さん人生頑張っていますか?ブルーネットです。
段々ハッキングから逃げらにくなって来てますね。セキュリティ業界にもどんどん面白い発展が出てきています。
元の記事は:
[日本語]
ギリシャと米国の研究者チームは、よく使われてるWeb APIを悪用してユーザーがWebページを閉じたてもボットがブラウザの上に悪意コードを実行可能の攻撃を発見しました。
概念実証は「MarioNet」と呼ばれまして、Webページやブラウザのタブが閉じられても、持続性の維持しながらブラウザのバックグラウンドで実行できることを証明しました。 「Service Workers」と言う新しいAPIの弱点のおかげです。
Service Workersは、基本的にはブラウザとネットワーク間で機能するJavaScriptの形式なのです。 このAPIはユーザーがスムーズのUI経験できるためにのネットワーク要求を傍受してUI操作を分離します。
ユーザーがWebサイトにアクセスすると、まずはService Workerを登録しまして、「Service Worker SyncManager interface」と呼ばれる機能で、サイトから移動してもService Workerを生存させます。
Service Workerの登録はユーザーからの対話を必要としないので、ユーザーはバックグラウンドに操作されてることを気づきません。 この時点でMarioNetは排除されまして、他のサーバーからService Workerの登録を引き起こす事ができます。
MarioNetは「Web Push API」を使用してブラウザを閉じても操作続ける可能性もあります。ですがこのAPIはユーザーから許可必要になります。
MarioNetは、DDoS攻撃、ブラウザの暗号化、プロキシネットワークなどの活動に利用される可能性があります。
研究チームは、Chrome、Firefox、Opera、Edge、とSafariのService WorkerAPIをサポートしているブラウザがすべてこの脆弱であることを証明しました。Internet ExplorerはService Workersをサポートされていないので、攻撃に無効になります。
研究チームのレポートの詳細はこちらにご覧になれます:
https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_01B-2_Papadopoulos_paper.pdf
New Botnet Attack Can Continue to Run Even After User Closes Webpage
Team of researchers from Greece and the US have found an exploit in current web APIs that bots can use to run malicious code through the users browser even after the user has closed the webpage.
The proof-of-concept is called MarioNet, which is proven to be able to run in the background of the users browser with persistence to continue even when the webpage is closed or tab closed. This is due to new API that modern browsers used called Service Workers.
Service Workers are essentially a form of JavaScript that operate between the browser and the networks. This allows them to intercept network requests and isolate UI operations so the user has a smoother experience and so intense operations do not freeze the system.
When a user lands a website, the attack will register a service worker and by utilizing it’s feature called “Service Worker SyncManager interface,” it will keep the service worker alive after navigating away from the site.
Because service worker registration does not require any interaction from the user, the user would have no idea that this is happening in the background. The MarioNet attack is dislodged at this point and can trigger service worker registration from other servers.
MarioNet has the ability to persist even if the user completely closes the browers by exploiting another API called the “Web Push API.” Though to get access to this API, it would require user permission.
The MarioNet attack could then be used in number of malicious activities such as DDoS attacks, browser crypto-mining, proxy networks and so on.
The research team showed that any browser that have support for the service worker API would be vulnerable, which include Chrome, Firefox, Opera, Edge, Safari etc. Though Internet Explorer does not have the support and thus would be immune to the attack.
The full detail of their research is available here: https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_01B-2_Papadopoulos_paper.pdf