防御最后一公里重组攻击:应对HTML走私和WebAssembly威胁

本文深入分析了最后一公里重组攻击的技术原理,特别是利用HTML走私和WebAssembly(WASM)的高级攻击技术,并详细介绍了Zscaler的多层次防御架构,包括AI驱动的反恶意引擎、零信任浏览器和云沙箱等防护措施。

防御最后一公里重组攻击

重组攻击是一种客户端攻击形式,包括HTML走私,已迅速演变为网络犯罪分子青睐的技术:它们绕过传统安全控制并将恶意负载投放到终端点。通过利用HTML和JavaScript的灵活性,攻击者可以将有害文件直接嵌入网页,有效绕过内容过滤器和传统安全防御。此外,威胁行为者不断创新,已开始利用WebAssembly(WASM)等先进技术,使这些走私活动更难被传统防火墙和Web网关等安全措施检测到。

重组攻击简介

重组攻击的核心是通过Web浏览器传递恶意组件,这些组件直接从看似无害的数据中组装而成。攻击负载在到达Web浏览器(即"最后一公里")之前并未完全形成,从而绕过了传统云代理和Web网关使用的基于网络的检测机制。

HTML走私作为重组攻击的一个子集,涉及将恶意负载(如可执行文件、脚本或混淆数据)嵌入到看似良性的HTML文档中。当HTML文档在浏览器中加载时,负载在客户端加载和解释HTML及JavaScript时被重新组装。这种方法通常滥用JavaScript blob、HTML5下载属性和数据URL,使攻击者能够将恶意软件包装在可下载资源中,这些资源在传输过程中看起来无害。

重组攻击的工作原理

  1. 嵌入恶意内容 - 攻击者使用JavaScript、数据URL或HTML5功能将混淆的恶意软件插入HTML文件中。
  2. 规避检测 - HTML文档由于网页内容外观无害,在穿越网络防御(防火墙、代理)时大多未被检测到。例如,恶意可执行文件可以使用Base64编码进行混淆,将其呈现为随机文本,传统防火墙或Web网关无法检测。
  3. 执行 - 当目标在Web浏览器中打开HTML文档时,脚本会重建并将恶意负载投放到用户设备上——有时会自动启动下载。

更高级别:基于WebAssembly的HTML走私

WebAssembly(WASM)是一种为Web上性能密集型应用程序设计的二进制指令格式。开发人员使用WASM以接近本机速度运行代码——直接在浏览器中实现复杂计算。不幸的是,攻击者现在在HTML走私活动中利用WASM来进一步混淆和优化恶意软件传递。

为什么WASM使HTML走私更加危险

WebAssembly作为传递恶意负载的手段对威胁行为者具有吸引力,因为它使它们能够在浏览器内运行恶意内容,同时绕过传统文件类型签名的典型检测机制。攻击者利用的WASM其他特性包括:

  • 二进制格式:WASM代码紧凑且难以分析,使静态检查和基于签名的检测效果大大降低。
  • 跨平台执行:WASM在主要浏览器和操作系统间无缝运行,提高了攻击者成功率。
  • 内存操作:负载可以仅在内存中执行,进一步减少取证痕迹。
  • 复杂混淆:WASM模块可以动态重建和解密负载,使恶意软件分析极具挑战性。

考虑一个攻击链,其中HTML文件加载一个WASM模块,当执行时,该模块重建一个嵌入的勒索软件负载——在通过网络到达终端点之前对网络不可见。

Zscaler如何防护HTML走私和基于WASM的恶意软件

组织需要采用分层、多方面的防御方法来应对这些复杂威胁。Zscaler的高级威胁防护利用"单次扫描,多重行动"技术,并行应用多种威胁预防技术以实现最高级别的保护。

单次扫描,多重行动防护

Zscaler的反恶意软件引擎是我们"单次扫描,多重行动"全面威胁防护的核心组件:当数据包发送到我们的代理服务节点之一时,Zscaler应用分层、内联、AI驱动的安全控制,在不干扰用户生产力的情况下检测和阻止威胁。反恶意软件是并行运行的多个引擎之一,不会因服务链而导致其他供应商遇到的延迟。以下是它如何阻止利用HTML走私的重组攻击:

  • AI驱动的反恶意软件引擎:Zscaler的反恶意软件引擎实时分析文件,包括带有JavaScript和其他客户端脚本的HTML文件——这包括嵌入的WASM模块和混淆内容——从blob、数据URL或WASM二进制文件中解包恶意负载。反恶意软件引擎逐行模拟恶意脚本——包括混淆的HTML——并在隔离环境中重新组装可执行二进制文件,然后阻止该恶意文件被传递到终端点。

  • 隔离环境中的代码执行:Zscaler不仅依赖签名,还利用高级隔离技术,在可疑脚本或WASM执行到达终端点前进行分析——在新型恶意软件造成损害前捕获它们。

  • 单次扫描,多重行动(SSMA):通过HTML走私检测到的威胁会触发多个响应,在入口点阻止攻击。例如,如果HTML文件尝试使用WASM重建负载,Zscaler的反恶意软件引擎会快速检查二进制指令,识别恶意行为,并在感染发生前阻止下载或执行。

网络层防御:内联检查提供实时保护

恶意HTML文件经常试图绕过传统网络边界防御。但Zscaler的内联检查通过以下方式改变了游戏规则:

  • 协议和内容检查:Zscaler不仅分析文件头,还分析HTTP/HTTPS流量中的实际嵌入内容——包括隐藏的WASM模块。

  • 高级MIME类型检查:公共服务边缘节点检查数据URL和脚本的异常MIME类型或下载行为,自动标记和阻止可疑下载。

  • 实时内联阻止:可疑文件——从HTML到JavaScript到WASM——在传输过程中被检测并停止,在走私负载到达终端点前阻止其传递。

  • 全面可见性:Zscaler提供详细的威胁分析,供安全团队跟踪、调查和响应走私尝试——减少驻留时间和横向移动风险。

针对重组恶意软件的深度防御保护

我们的反恶意软件引擎只是整体深度防御网络威胁防护产品的一部分:作为Zscaler互联网访问的一部分提供,我们的AI驱动零信任浏览器和云沙箱提供额外的保护层,防止恶意重组文件在终端点上执行:

  • 零信任浏览器:浏览器隔离通过隔离可疑网页并仅将会话的安全像素流传输给最终用户(而非活动内容)来阻止基于Web的威胁。这阻止了浏览器漏洞利用,因此通过HTML走私传递的任何恶意负载都被限制在零信任交换本身的临时容器中,永远不会到达终端点。

此外,客户可以配置浏览器隔离来检查网页来源域名的年龄或其他标准,如整体URL类别(例如赌博、成人内容等)。通过策略,Zscaler客户可以强制潜在恶意网页在零信任浏览器中呈现,使它们在虚拟化浏览器中仅以像素形式打开,没有JavaScript或其他潜在恶意客户端脚本,有效地在恶意字节码影响终端点前中和它。

最后,浏览器隔离配置文件可以配置为禁止文件下载。但即使允许下载,ZIA的高级威胁防护和云沙箱也会阻止此类文件在终端点上下载和执行。

  • 云沙箱,同样作为Zscaler互联网访问的一部分提供,提供了额外的防御层,增强了Zscaler的AV引擎和零信任浏览器。市场上其他传统沙箱解决方案对HTML走私攻击无效,因为没有文件被传输,因此攻击未被注意到。但Zscaler的云沙箱提供无限制、无延迟的检查,在威胁到达终端点前阻止它们。云原生且完全内联,它提供实时分析和判定,防止威胁传播——而不影响生产力。

结论

重组攻击,包括HTML走私,不再局限于简单的下载属性滥用或JavaScript blob——攻击者的复杂程度随着采用WebAssembly等技术而升级。这些活动现在更难检测、更具规避性,且潜在破坏性更大。组织必须采用自适应防御机制来应对。

Zscaler提供统一的方法来防御重组攻击——包括HTML走私——并结合了高级实时威胁扫描、行为分析和网络级内联检查,从而提供针对零日威胁和最新HTML走私攻击的强大保护。通过内联检查内容,Zscaler在威胁到达终端点前中和它们——为组织提供安心:他们可以保护数据,同时员工保持生产力,并采用最新的Web技术而不牺牲安全性。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次