In un recente rapporto, il team di Microsoft 365 Defender Threat Intelligence ha analizzato una serie di minacce tra cui malware bancario, trojan di amministrazione remota (RAT) e payload di ransomware, identificando il ritorno di una tecnica che sembrava quasi essere scomparsa negli ultimi anni, ma che dal 2020, come vedremo e come dice il rapporto Microsoft, è tornata a essere diffusa e popolare: smuggling HTML.
Vediamo di cosa si tratta, in modo da poter riconoscere la tipologia di attacco e non trovarci impreparati difronte a nuovi scenari.
Una vecchia tecnica di evasione chiamata attacco “smuggling HTML” (tradotto letteralmente sarebbe “contrabbando di HTML”) sta guadagnando nuovamente terreno tra gli aggressori informatici che cercano modi ingegnosi per distribuire furtivamente malware.
La tecnica aiuta gli attori delle minacce a eludere gli strumenti di sicurezza della rete abusando dei componenti del browser come le funzionalità di base del codice HTML5 e JavaScript per fornire payload dannosi.
Il successo di questa tecnica di attacco è basato sulle e-mail appositamente predisposte inviate alle vittime piuttosto che sfruttare una vulnerabilità o un difetto di progettazione eventualmente presente nel browser.
Indice degli argomenti
Uno sguardo alle ultime campagne di smuggling HTML
I ricercatori di Menlo Security hanno condiviso i dettagli su una nuova campagna di attacco chiamata ISOMorph il 30 luglio 2021. L’attacco ISOMorph utilizza smuggling HTML per depositare il prima accesso sul computer della vittima.
Poiché è “di contrabbando”, lo script malevolo è effettivamente assemblato sul computer della vittima, il che consente all’attacco di aggirare completamente la sicurezza perimetrale standard.
Una volta installato, lo script iniziale cattura il suo payload, che infetta il computer con trojan di accesso remoto (RAT) che consentono all’attaccante di controllare la macchina infetta e di spostarsi lateralmente sulla rete ormai compromessa.
La stessa tecnica di contrabbando HTML è stata utilizzata anche nella fase iniziale del processo di infezione per ottenere l’accesso ai computer delle vittime e liberare un dropper di malware che provoca il download di una varietà di RAT, come AsyncRAT o NJRAT (protagonisti di diversi attacchi nell’ultimo anno).
Verso la fine di luglio 2021, il team di ricerca di Microsoft ha inoltre individuato una campagna di spam e-mail durata una settimana che ha sfruttato l’attacco di smuggling HTML per fornire malware ai dispositivi degli utenti. La fase finale della campagna ha consegnato un trojan chiamato Casbaneiro (Metamorfo) sulla macchina delle vittime.
Smuggling HTML: una minaccia crescente
I ricercatori affermano che il riemergere del smuggling HTML può essere collegato all’aumento globale del lavoro a distanza a causa del blocco della pandemia.
Questa tecnica sta guadagnando popolarità perché gli aggressori possono portare i loro payload sull’endpoint ignorando tutti gli strumenti di ispezione e analisi della rete.
Inoltre, poiché il payload è costruito direttamente sul browser, è quasi impossibile da rilevare per le soluzioni di sicurezza tradizionali.
L’attacco supply chain di SolarWinds è uno dei recenti attacchi (dicembre 2020) di alto profilo che indicano la portata dell’uso di questo metodo di attacco.
Ricordiamo, inoltre, che il malware bancario (che può essere inizializzato anche con questa tecnica), è molto sensibile per le organizzazioni aziendali: agisce in modo silente in un computer di semplice amministrazione aziendale, apparentemente senza problemi, e durante le fasi di utilizzo dei canali telematici bancari (appunto), ricompila certi campi in schermate tipo l’emissione di un bonifico, convertendo l’IBAN del nostro destinatario con un IBAN a noi totalmente sconosciuto, modificando così l’accredito della somma (qualora la vittima non si accorga del problema), verso altre destinazioni.
Se la vittima si accorge in tempo che il bonifico appena effettuato, ha delle incongruenze, si trova in facoltà di stornare l’operazione, ma se la frode va a segno e ci si accorge troppo tardi dei dati modificati, è possibile che l’aggressore abbia già fatto sparire le somme dal conto di transito utilizzato per la frode, rendendo inutile così ogni tentativo di storno o richiamo.
Come funziona lo smuggling HTML
L’utilizzo di una combinazione di HTML5 e JavaScript per intrufolare i file dannosi oltre i filtri tradizionali di un sistema non è una nuova tecnica offensiva. Questo meccanismo è stato incorporato nei quadri offensivi popolari come per esempio Demiguise e SharpShooter, e già ampiamente documentato a partire dal 2018.
Gli attori della minaccia possono contrabbandare dati e file oltre i filtri dei contenuti nascondendo payload dannosi all’interno di file HTML apparentemente innocui.
I documenti HTML possono archiviare oggetti binari di grandi dimensioni noti come BLOB JavaScript (dati immutabili che rappresentano byte non elaborati) che possono essere successivamente costruiti in oggetti simili a file.
I dati possono anche essere archiviati in URL, che consentono di incorporare tipi di media o file MIME inline nel codice di documenti HTML.
HTML5 ha anche introdotto un attributo di download che può essere utilizzato per avviare il download di file. Inoltre questa tecnica, abbinata all’offuscamento dell’effettivo payload con tecniche anche elaborate di incapsulamento di queste istruzioni all’interno di HTML o JavaScript, ne rendono veramente complicato il rilevamento.
L’immagine seguente spiega cosa succede in questo meccanismo.
L’endpoint recupera una pagina web (contenente solo HTML e JavaScript) dal server web. Quindi, qualsiasi sistema difensivo nel nostro perimetro vedrà solo una combinazione di HTML e JavaScript che passa perfettamente l’analisi.
Di conseguenza, questa tecnica rende inutile il rilevamento perimetrale di contenuto dannoso basato su tipi MIME (non c’è .doc che va oltre, apparentemente). Quando viene eseguito il rendering della pagina Web nel browser dell’endpoint, il file dannoso viene decodificato utilizzando JavaScript, inserito in un BLOB e successivamente scaricato. Questi ultimi passaggi si verificano esclusivamente nel browser web della vittima.
Come ci si può difendere
Lo smuggling HTML utilizza le funzioni legittime di HTML5 combinate con JavaScript supportate da tutti i browser moderni. La disabilitazione di JavaScript sarebbe una misura efficace, ma nella maggior parte degli ambienti aziendali semplicemente non è un’opzione funzionale al lavoro.
Quindi come possiamo prevenire? Supponiamo che i contenuti dannosi possano essere consegnati agli endpoint, nonostante la stretta sicurezza perimetrale. Questo ci insegna che oltre alla sicurezza perimetrale, dovremmo prestare attenzione a ciò che si trova dietro il nostro perimetro, in particolare agli endpoint.
Da un punto di vista preventivo, implementare misure che limitino l’impatto del contenuto dannoso distribuito agli endpoint, come il rafforzamento delle applicazioni e il controllo degli script (permessi, cosa può fare chi) e delle applicazioni utente più utilizzate nella rete degli endpoint (come MS Office).
