浏览器缓存劫持:一种新型的恶意软件传播方式

什么是浏览器缓存劫持?

浏览器缓存劫持是一种利用浏览器缓存机制来传播恶意软件的新型攻击方式。这种攻击通过将恶意DLL文件伪装成无害的文件(如图片),并利用浏览器的缓存功能来绕过传统的安全防御。

工作原理

  1. 缓存恶意文件:攻击者在网页上托管恶意DLL文件,通过修改Content-Type头部使其看起来像无害的内容(例如图片)。当用户访问该网页时,浏览器会将DLL文件缓存起来,误以为它是合法的资源。

    html 复制代码
  2. 社会工程:攻击者通过社会工程手段诱导受害者执行PowerShell命令,定位并移动缓存的DLL文件到高风险目录,如Microsoft Teams或OneDrive的本地应用数据文件夹。

  3. DLL代理:攻击者使用DLL代理技术来避免应用程序崩溃并绕过防病毒软件。通过在目标应用程序的安装目录中放置恶意DLL文件,攻击者可以劫持应用程序的进程。

    • 恶意DLL的双重功能
      • 执行恶意代码(如建立C2连接)。
      • 转发合法API调用到原始DLL,确保应用程序正常运行,减少怀疑。

案例:针对Microsoft Teams和OneDrive

  • 为什么选择Teams和OneDrive

    • 这些应用程序以用户权限运行,允许在无需管理员权限的情况下进行DLL劫持。
    • 其频繁的互联网通信可以掩盖恶意流量。
  • PowerShell脚本示例:用于在浏览器缓存中搜索并复制恶意DLL到Teams目录。

    powershell 复制代码
    # PowerShell脚本示例
    foreach ($f in @("$env:LOCALAPPDATA\Mozilla\Firefox\Profiles\*.default-release\cache2\entries\")) {
        gci $f -r | % {
            if (Select-String -Pattern "PAYLOAD" -Path $_.FullName) {
                cp $_.FullName "$env:LOCALAPPDATA\Microsoft\Teams\VERSION.dll"
            }
        }
    }

风险与防御

  • 风险:这种攻击方式通过利用浏览器的合法行为绕过网络防御,同时使用DLL代理技术将恶意软件隐藏在可信进程中。由于78%的企业依赖Microsoft 365,这种技术对广泛的用户群体构成威胁。

  • 防御措施:随着浏览器和企业逐渐采用更严格的缓存策略,红队和防御者需要优先了解这些不断演变的攻击面。应采用分层防御策略来抵御利用可信软件的社会工程攻击。

相关推荐
tan180°5 小时前
MySQL表的操作(3)
linux·数据库·c++·vscode·后端·mysql
wuk9986 小时前
基于MATLAB编制的锂离子电池伪二维模型
linux·windows·github
优创学社26 小时前
基于springboot的社区生鲜团购系统
java·spring boot·后端
why技术6 小时前
Stack Overflow,轰然倒下!
前端·人工智能·后端
幽络源小助理6 小时前
SpringBoot基于Mysql的商业辅助决策系统设计与实现
java·vue.js·spring boot·后端·mysql·spring
ai小鬼头7 小时前
AIStarter如何助力用户与创作者?Stable Diffusion一键管理教程!
后端·架构·github
简佐义的博客8 小时前
破解非模式物种GO/KEGG注释难题
开发语言·数据库·后端·oracle·golang
天天扭码8 小时前
从图片到语音:我是如何用两大模型API打造沉浸式英语学习工具的
前端·人工智能·github
Code blocks8 小时前
使用Jenkins完成springboot项目快速更新
java·运维·spring boot·后端·jenkins