HTML Smuggling

ほぼこもセキュリティニュース By Terilogy Worx

HTMLスマグリング(HTML Smuggling)とはなんでしょうか。
これは、標的となるエンドポイントのブラウザ内で悪意のあるHTMLを生成することで、境界セキュリティデバイスを回避する技術です。
HTML5とJavascriptの機能を悪用するのではなく通常に利用することで、メールスキャナ、プロキシ、サンドボックスなどの従来のネットワークセキュリティソリューションを回避します。

こんな風に進行します。

  • フィッシングメールで、怪しいリンクが届けられる
  • 受信した人がそのリンクをクリックする
  • ZIPファイルがパソコンにダウンロードされる
  • ZIPファイルには、JavaScriptで書かれたダウンローダーが含まれている
  • JavaScriptは実行され、怪しいサイトに接続する
  • JavaScriptはDLLファイルの材料となるバイナリが含まれたファイルをダウンロードする
  • JavaScriptはダウンロードしたバイナリを被害者のパソコンの上で組み立てて、怪しいDLLを作り出す
  • DLLサイドローディングによって、怪しいDLLが起動される
  • 認証情報やキー入力の盗難が実施される

つまり、境界セキュリティデバイスを通過する時点では、その通過しているデータが悪意があるものだと判定することができないようになっているというのです。

SolarWindsの件のグループが攻撃でCobalt StrikeBeaconを配信する際に、この手法を使っていました。
TrickBotの配信に使用されたケースも観測されています。
この手法はその世界ですでに注目されているものだと言えそうです。

なにかの特効薬があるかはわかりません。
どういった傾向があるのかということを継続的に把握できるようにし、タイムリーに対応していけるようにしていくことが必要だと思われます。

参考記事(外部リンク):Hackers Increasingly Using HTML Smuggling in Malware and
Phishing Attacks

thehackernews.com/2021/11/hackers-increasingly-using-html.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。