什么是浏览器缓存劫持?
浏览器缓存劫持是一种利用浏览器缓存机制来传播恶意软件的新型攻击方式。这种攻击通过将恶意DLL文件伪装成无害的文件(如图片),并利用浏览器的缓存功能来绕过传统的安全防御。
工作原理
-
缓存恶意文件:攻击者在网页上托管恶意DLL文件,通过修改Content-Type头部使其看起来像无害的内容(例如图片)。当用户访问该网页时,浏览器会将DLL文件缓存起来,误以为它是合法的资源。
html -
社会工程:攻击者通过社会工程手段诱导受害者执行PowerShell命令,定位并移动缓存的DLL文件到高风险目录,如Microsoft Teams或OneDrive的本地应用数据文件夹。
-
DLL代理:攻击者使用DLL代理技术来避免应用程序崩溃并绕过防病毒软件。通过在目标应用程序的安装目录中放置恶意DLL文件,攻击者可以劫持应用程序的进程。
- 恶意DLL的双重功能 :
- 执行恶意代码(如建立C2连接)。
- 转发合法API调用到原始DLL,确保应用程序正常运行,减少怀疑。
- 恶意DLL的双重功能 :
案例:针对Microsoft Teams和OneDrive
-
为什么选择Teams和OneDrive:
- 这些应用程序以用户权限运行,允许在无需管理员权限的情况下进行DLL劫持。
- 其频繁的互联网通信可以掩盖恶意流量。
-
PowerShell脚本示例:用于在浏览器缓存中搜索并复制恶意DLL到Teams目录。
powershell# PowerShell脚本示例 foreach ($f in @("$env:LOCALAPPDATA\Mozilla\Firefox\Profiles\*.default-release\cache2\entries\")) { gci $f -r | % { if (Select-String -Pattern "PAYLOAD" -Path $_.FullName) { cp $_.FullName "$env:LOCALAPPDATA\Microsoft\Teams\VERSION.dll" } } }
风险与防御
-
风险:这种攻击方式通过利用浏览器的合法行为绕过网络防御,同时使用DLL代理技术将恶意软件隐藏在可信进程中。由于78%的企业依赖Microsoft 365,这种技术对广泛的用户群体构成威胁。
-
防御措施:随着浏览器和企业逐渐采用更严格的缓存策略,红队和防御者需要优先了解这些不断演变的攻击面。应采用分层防御策略来抵御利用可信软件的社会工程攻击。