QR kodovi, obično viđeni kao alat za olakšavanje svakodnevnih digitalnih interakcija, dobili su potpuno novu ulogu u svijetu cyber sigurnosti. Istraživači iz Mandianta otkrili su tehniku koja omogućava zaobilaženje izolacije preglednika putem QR kodova, čime se otvara put za malicioznu komunikaciju komandno-kontrolnih (C2) servera.
Ova prijetnja naglašava ranjivosti postojećih sigurnosnih mjera te podsjeća na važnost višeslojne odbrane u zaštiti sistema kritične infrastrukture.
Izolacija preglednika: Temelj cyber sgurnosti
Izolacija preglednika sve je popularnija sigurnosna tehnologija koja omogućava da lokalni zahtjevi preglednika budu procesirani putem udaljenih preglednika smještenih u oblaku ili virtualnim mašinama. Cilj ove tehnologije je spriječiti lokalni uređaj da bude zaražen malicioznim kodom koji se može nalaziti na posjećenim web stranicama.
Na ovaj način, sav sadržaj, uključujući skripte i druge potencijalno opasne elemente, obrađuje se u udaljenom pregledniku. Lokalni preglednik prima samo vizualni prikaz stranice, čime se smanjuje mogućnost zaraze.
Kako QR kodovi zaobilaze izolaciju
Tradicionalni C2 serveri oslanjaju se na HTTP komunikaciju, što izolacija preglednika obično uspješno filtrira. Međutim, Mandiant je razvio tehniku koja koristi QR kodove za prijenos komandi. Vizualni elementi web stranica, poput QR kodova, ne uklanjaju se prilikom izolacijskih zahtjeva, što omogućava njihov prijenos do lokalnog preglednika.
U demonstraciji ove metode, zlonamjerni softver na uređaju žrtve čita QR kodove prikazane na web stranici i dešifrira ih kako bi dobio komande za izvršenje.
Ograničenja i ranljivosti
Iako je ova metoda inovativna, ima određena ograničenja:
- Ograničen kapacitet podataka: QR kodovi mogu prenijeti maksimalno 2,189 bajtova podataka, što smanjuje njihov potencijal za veće operacije.
- Spor protok podataka: Svaki zahtjev traje oko pet sekundi, što ograničava prijenos na 438 bajtova u sekundi.
- Dodatne sigurnosne mjere: Faktori poput reputacije domena, skeniranja URL-ova i prevencije gubitka podataka mogu dodatno otežati ovu tehniku.
Opasnost za sisteme kritične infrastrukture
Iako ova metoda nije pogodna za velike operacije, može biti vrlo opasna u ciljanju specifičnih sistema. Administratori u kritičnim okruženjima trebali bi biti posebno pažljivi na neuobičajeni promet i automatizirane preglednike koji rade u “headless” režimu.
Zaključak
Ovo istraživanje pokazuje da čak i naizgled sigurni sistemi poput izolacije preglednika imaju svoje slabosti. Upotreba QR kodova za malicioznu komunikaciju predstavlja podsjetnik da cyber sigurnost zahtijeva kontinuiranu inovaciju i unapređenje zaštitnih mjera.
Zaštita sistema kritične infrastrukture od ovakvih napada zahtijeva kombinaciju naprednih alata, pažljive analize mrežnog saobraćaja i višeslojne sigurnosti kako bi se umanjila mogućnost iskorištavanja ovakvih ranjivosti.