HTML Smuggling
HTMLスマグリング(HTML Smuggling)とはなんでしょうか。
これは、標的となるエンドポイントのブラウザ内で悪意のあるHTMLを生成することで、境界セキュリティデバイスを回避する技術です。
HTML5とJavascriptの機能を悪用するのではなく通常に利用することで、メールスキャナ、プロキシ、サンドボックスなどの従来のネットワークセキュリティソリューションを回避します。
こんな風に進行します。
- フィッシングメールで、怪しいリンクが届けられる
- 受信した人がそのリンクをクリックする
- ZIPファイルがパソコンにダウンロードされる
- ZIPファイルには、JavaScriptで書かれたダウンローダーが含まれている
- JavaScriptは実行され、怪しいサイトに接続する
- JavaScriptはDLLファイルの材料となるバイナリが含まれたファイルをダウンロードする
- JavaScriptはダウンロードしたバイナリを被害者のパソコンの上で組み立てて、怪しいDLLを作り出す
- DLLサイドローディングによって、怪しいDLLが起動される
- 認証情報やキー入力の盗難が実施される
つまり、境界セキュリティデバイスを通過する時点では、その通過しているデータが悪意があるものだと判定することができないようになっているというのです。
SolarWindsの件のグループが攻撃でCobalt StrikeBeaconを配信する際に、この手法を使っていました。
TrickBotの配信に使用されたケースも観測されています。
この手法はその世界ですでに注目されているものだと言えそうです。
なにかの特効薬があるかはわかりません。
どういった傾向があるのかということを継続的に把握できるようにし、タイムリーに対応していけるようにしていくことが必要だと思われます。
参考記事(外部リンク):Hackers Increasingly Using HTML Smuggling in Malware and
Phishing Attacks
thehackernews.com/2021/11/hackers-increasingly-using-html.html
