浏览器缓存劫持:一种新型的恶意软件传播方式

什么是浏览器缓存劫持?

浏览器缓存劫持是一种利用浏览器缓存机制来传播恶意软件的新型攻击方式。这种攻击通过将恶意DLL文件伪装成无害的文件(如图片),并利用浏览器的缓存功能来绕过传统的安全防御。

工作原理

  1. 缓存恶意文件:攻击者在网页上托管恶意DLL文件,通过修改Content-Type头部使其看起来像无害的内容(例如图片)。当用户访问该网页时,浏览器会将DLL文件缓存起来,误以为它是合法的资源。

    html 复制代码
  2. 社会工程:攻击者通过社会工程手段诱导受害者执行PowerShell命令,定位并移动缓存的DLL文件到高风险目录,如Microsoft Teams或OneDrive的本地应用数据文件夹。

  3. DLL代理:攻击者使用DLL代理技术来避免应用程序崩溃并绕过防病毒软件。通过在目标应用程序的安装目录中放置恶意DLL文件,攻击者可以劫持应用程序的进程。

    • 恶意DLL的双重功能
      • 执行恶意代码(如建立C2连接)。
      • 转发合法API调用到原始DLL,确保应用程序正常运行,减少怀疑。

案例:针对Microsoft Teams和OneDrive

  • 为什么选择Teams和OneDrive

    • 这些应用程序以用户权限运行,允许在无需管理员权限的情况下进行DLL劫持。
    • 其频繁的互联网通信可以掩盖恶意流量。
  • PowerShell脚本示例:用于在浏览器缓存中搜索并复制恶意DLL到Teams目录。

    powershell 复制代码
    # PowerShell脚本示例
    foreach ($f in @("$env:LOCALAPPDATA\Mozilla\Firefox\Profiles\*.default-release\cache2\entries\")) {
        gci $f -r | % {
            if (Select-String -Pattern "PAYLOAD" -Path $_.FullName) {
                cp $_.FullName "$env:LOCALAPPDATA\Microsoft\Teams\VERSION.dll"
            }
        }
    }

风险与防御

  • 风险:这种攻击方式通过利用浏览器的合法行为绕过网络防御,同时使用DLL代理技术将恶意软件隐藏在可信进程中。由于78%的企业依赖Microsoft 365,这种技术对广泛的用户群体构成威胁。

  • 防御措施:随着浏览器和企业逐渐采用更严格的缓存策略,红队和防御者需要优先了解这些不断演变的攻击面。应采用分层防御策略来抵御利用可信软件的社会工程攻击。

相关推荐
不甘打工的程序猿4 分钟前
nacos融合spring cloud学习【Spring-Cloud-Alibaba】
后端·架构
Oriel18 分钟前
在 Strapi v4 中生成专业 API 文档
前端·后端
jack_yin18 分钟前
github万星Loki 项目 OOM 问题的一次实战
后端
槲栎20 分钟前
在Springboot可执行jar包中使用自定义字符集失败问题
后端
LaoZhangAI20 分钟前
Playwright MCP完整指南:AI驱动的浏览器自动化测试革命2025
前端·后端
Always_July20 分钟前
MyBatis-Plus TypeHander不生效
后端·mybatis
花落人散处22 分钟前
SpringAI——整合MCP案例
java·后端
前端Hardy22 分钟前
Python 打造 Excel 到 JSON 转换工具:从开发到打包全攻略
前端·后端·python
guiyanakaung22 分钟前
CMP 如何优雅的实现跨软件的拖拽功能
前端·github
Lenyiin1 小时前
《LeetCode 热题 100》整整 100 题量大管饱题解套餐 中
java·c++·python·leetcode·面试·刷题·lenyiin