ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1189

术语表: /attack/glossary

路过式攻击

路过式攻击是指攻击者通过正常浏览网站的用户获得对系统的访问权。 有了这种技术,用户的 web 浏览器就成为了漏洞利用的目标 这可以通过多种方式实现,但主要有以下几个部分: 有多种方式将漏洞代码交付给浏览器,包括: - 合法的网站遭到攻击,其中攻击者注入了某种形式的恶意代码,比如 JavaScript、iFrames、跨站点脚本。 - 恶意广告通过合法的广告提供商收费和投放。 - 内置的 web 应用程序接口可用于插入任何其他类型的对象,这些对象可用于显示 web 内容或包含在访问客户端上执行的脚本(例如论坛帖子、评论和其他用户可控制的 web 内容)。

通常,攻击者使用的网站是由特定社区访问的网站,如政府、特定行业或地区,其目标是基于共同利益对特定用户或一组用户进行攻击。 这种有针对性的攻击是指战略性网络攻击或水坑攻击。 有几个已知的例子。

典型的路过式攻击过程: 1. 用户访问托管攻击者控制内容的网站。 2. 脚本自动执行,通常搜索浏览器的版本和插件以查找可能存在漏洞的版本。 - 可能需要用户通过启用脚本或激活网站组件并忽略告警对话框来协助此过程。 3. 找到易受攻击的版本后,漏洞利用 (exploit) 代码将被发送到浏览器。 4. 如果利用成功,那么它将在用户系统上执行攻击者的代码,除非有其他保护措施。 - 在某些情况下,需要在初始扫描后第二次访问网站,才能发送漏洞利用代码。

与利用面向公众的应用程序(Exploit Public-Facing Application)不同,这种技术的重点是利用正在访问网站的客户端上的软件。 这通常使攻击者获得对内部网络系统的访问权,而可能在 DMZ 中的外部系统。

缓解

路过式攻击依赖于客户端系统上存在易受攻击的软件。 使用现代浏览器并开启安全功能。 确保所有浏览器和插件保持更新,有助于避免该技术的 exploit 阶段。 对于通过广告提供的恶意代码,adblockers 可以辅助阻止代码的初始执行。 脚本拦截扩展可以辅助拦截在漏洞利用过程中经常使用的 JavaScript 的执行。 可以使用浏览器沙箱来缓解漏洞利用的一些影响,但是可能仍然存在沙箱逃逸。

其他类型的虚拟化和应用程序微分段 (microsegmentation ) 也可以减轻客户端漏洞利用的影响。 实施中可能还存在其他漏利用和缺陷的风险。

查找漏洞利用过程中的行为的安全应用程序,如 Windows Defender Exploit Guard (WDEG) 和 Enhanced Mitigation Experience Toolkit (EMET),可以用来缓解某些漏洞利用行为。 控制流完整性校验是另一种可能识别和拦截软件漏洞利用的方法。 许多这些保护依赖于体系结构和目标应用程序二进制文件以实现兼容性。

检测

防火墙和代理可以检查 URL 以查找可能已知的坏域或参数。 它们还可以对网站和及其所请求的资源进行基于名声的分析,比如域名历史、注册地址、是否在已知的黑名单上,或者有多少其他用户曾经连接过它。 网络入侵检测系统(有时带有 SSL/TLS MITM 检查)可用于查找已知的恶意脚本 (recon、堆喷射和已被经常重用的浏览器识别脚本)、常见脚本混淆和 exploit 代码。 检测基于合法网站的路过式攻击可能是困难的。 还要在终端系统上查找可能标志成功攻击的行为,例如浏览器进程的异常行为。 这可能包括写入磁盘的可疑文件、有关尝试隐藏执行的进程注入的证据、有关披露技术 (Discovery) 的证据,或者其他异常网络流量,可能表明其他工具被引入系统。