Da quasi vent’anni, i Secure Web Gateway (SWG) vengono utilizzati per monitorare il traffico di rete, bloccare file e siti Web dannosi e proteggere le aziende dalle minacce basate sul Web. Oggi molte aziende confidano nel fatto che i loro gateway Web sicuri catturino tutto il malware conosciuto, come promesso nei loro accordi sul livello di servizio. Tuttavia, è sufficiente tagliare il malware in parti più piccole per bypassare con successo i gateway web sicuri e consegnare il payload dannoso all’endpoint. Dal momento che i ricercatori in Quadrato X Hanno mostrato pubblicamente questi attacchi Navigatore. SicurezzaSia i clienti che i fornitori sono rimasti stupiti nel vedere con quanta facilità i loro flussi di lavoro di sicurezza possano essere elusi da questi attacchi.
Suddivisione dei file: l’arte di scomporre il malware in pezzi piccoli e non rilevabili
Gli attacchi di suddivisione dei file sfruttano il fatto che i gruppi di lavoro di sicurezza e i proxy cloud analizzano la rete e il traffico di file in modo isolato, una richiesta alla volta. In questi attacchi l’autore malintenzionato suddivide il file malware in più parti o parti più piccole e le consegna singolarmente al browser del client. Poiché ogni frammento è così piccolo o apparentemente innocuo di per sé, il gruppo di lavoro sulla sicurezza non riconosce l’intento dannoso complessivo, consentendo ai frammenti di non essere rilevati.
Una volta che tutti i pezzi sono stati consegnati al browser della vittima, il codice JavaScript dell’aggressore riassembla i pezzi in un eseguibile completo del malware sul lato client. Potrebbe trattarsi di ransomware, spyware o qualsiasi altra forma di malware e nel momento in cui è completamente formato e scaricato sul dispositivo del cliente, SWG ha già fallito.
SWG Tools ha un’eccellente capacità di rilevare e bloccare completamente i file dannosi noti quando compaiono. Funzionano analizzando il traffico di rete alla ricerca di firme malware note o utilizzando l’intelligenza artificiale/l’apprendimento automatico per rilevare modelli sospetti.
Tuttavia, un tipico agente cloud o cluster software esamina ogni richiesta di rete o flusso di dati individualmente e la natura stateless di queste soluzioni fa sì che non conservino memoria delle richieste precedenti. I CWG non hanno contesto per determinare se tutte le richieste provengono dalla stessa scheda o finestra del browser, il che significa che non possono riconoscere che una serie di pezzi apparentemente innocui verranno uniti, nella stessa scheda, in qualcosa di pericoloso.
Queste restrizioni consentono agli aggressori di distribuire con successo malware noto ai dipendenti aziendali attraverso il partizionamento dei file.
Varie tecniche di segmentazione
Gli aggressori hanno sviluppato diverse tecniche di segmentazione per evitare il rilevamento. Ecco alcuni metodi comunemente usati:
- Attacco diretto diviso: Il file dannoso viene suddiviso in diverse piccole parti e inviato separatamente al browser. Poiché i frammenti sono troppo piccoli per attivare avvisi di sicurezza, SWG consente il passaggio di ciascun frammento. Una volta che tutte le parti sono sul lato client, JavaScript ricompila ed esegue il malware.
- Attacco diviso inverso: In questa varietà ogni parte non solo è divisa, ma anche invertita. Ciò significa che anche se alcune soluzioni di sicurezza tentano di rilevare schemi nelle singole parti, il contenuto capovolto appare innocuo. Una volta consegnate, tutte le parti invertite vengono riportate alla loro forma originale e riassemblate prima che il malware venga eseguito.
- Attacco del volume casuale: Qui, il file viene suddiviso in parti di dimensioni casuali per rendere più difficile il processo di rilevamento. Poiché i frammenti variano di dimensione e non seguono uno schema prevedibile, rilevare le impronte digitali di questi frammenti diventa quasi impossibile. Anche in questo caso, il malware viene riassemblato lato client una volta consegnate tutte le parti.
- Combina e abbina l’attacco: Questo metodo combina tecniche di partizionamento inverso e randomizzazione, creando un insieme di frammenti di file molto disordinato che rende il rilevamento molto più difficile. Una volta consegnato al client, JavaScript riassembla il malware eseguendo il mirroring e abbinando frammenti di dimensioni casuali.
Inoltre, gli aggressori stanno sfruttando più di 30 vulnerabilità SWG per compromettere le reti aziendali. Per proteggersi da questi attacchi, le organizzazioni devono adottare nuovi metodi di sicurezza specifici del browser in grado di rilevare le attività lato client all’interno del browser e impedire il download di malware prima che esca dal browser. Senza questo ulteriore livello di protezione, le aziende rimangono vulnerabili agli attacchi che sfruttano i limiti delle soluzioni proxy cloud.
“Esperto di Internet. Fan della TV. Analista esasperatamente umile. Pioniere di Twitter impenitente. Fanatico del caffè freelance.”