Eine neue Sicherheitsforschung „zeigt die leistungsstarken Funktionen, die marionet durch die Präsentation moderne Angreifer APIs Browser bieten: ein Rahmen, der eine Fern böswillige Entität ermöglicht einen Besucher Browser zu steuern und seine Ressourcen für unerwünschte Berechnung oder schädliche Operationen missbrauchen, wie Kryptowährung Bergbau, Passwort-Knacken, und DDoS".
Mit anderen Worten, Browser-APIs kann die Kontrolle über eine Website Browser des Besuchers zu ergreifen ausgebeutet. Der Browser kann zu einem Botnet hinzugefügt werden, und später in verschiedenen bösartigen Szenarien missbraucht.
Was ist marionet?
Nach der Bericht, der so genannte marionet stützt sich ausschließlich auf bereits verfügbaren HTML5-APIs, ohne die Installation zusätzlicher Software erforderlich. Marionet ist anders als früheres Browser-basierten Botnets in seinem hartnäckigen und Stealth, die bösartigen Aktivitäten erlauben im Hintergrund des Browsers auch nach dem Schließen.
Um zu beweisen, dieses Konzept, Die Forscher stellten das Design, Implementierung, und die Bewertung ihres Prototyp-System, das ist kompatibel mit allen gängigen Browsern.
Marionet ist aus einer in-Browser-Komponente hergestellt, die in einem Servicearbeiter Modul eingebettet ist,, und ein Fernbefehl und Steuersystem. Es sollte berücksichtigt werden, dass marionet den Benutzer nicht brauchen keine Software zu installieren, da es JavaScript verwendet und basiert auf HTML5-APIs, die von fast jedem Desktop oder mobilen Browser bereitstellen. Das potenziell bösartige Design nutzt den Dienstleister API registrieren und Service-Mitarbeiter im Hintergrund einer Webseite aktiviert Lauf.
Wenn der Benutzer blättert von einer Website entfernt, die Servicemitarbeiter von dieser Website wird in der Regel durch den Browser pausiert; es wird dann neu gestartet und aktiviert, sobald die übergeordnete Domäne wieder besucht. Jedoch, es ist möglich, dass der Herausgeber einer Website seiner Servicemitarbeiter durch die Implementierung periodische Synchronisation am Leben zu halten.
Es ist auch wichtig zu beachten, dass die Registrierung eines Servicemitarbeiters für den Benutzer nicht sichtbar oder verfügbar ist – die Website erfordert nicht die Zustimmung des Benutzers einen Servicemitarbeiter registrieren und pflegen. Außerdem, ähnlich wie Web-Arbeiter, Service-Mitarbeiter können nicht auf das DOM zugreifen direkt. Stattdessen, Sie kommunizieren mit ihren übergeordneten Homepages der über die auf Nachrichten reagiert geschickt POST-Meldung Schnittstelle, Der Bericht hebt hervor.
Zusamenfassend, die marionet Exploit ist schwierig durch die Sicherheitsüberwachung Erweiterungen und Benutzer zu erkennen, wodurch der Angriff sehr potent und gefährlich. Browser-Erweiterungen sind nicht in der Lage den Dienst Arbeiter abgehenden Verkehr zu überwachen. Wie für die Nutzer, es ist höchst unwahrscheinlich, dass für den durchschnittlichen Benutzer zu merken, dass etwas nicht in Ordnung ist (wie das Gerät mehr Ressourcen). Schließlich, das marionet Konzept ermöglicht es Angreifern, zu überwachen und steuern den Prozess. Kontinuierliche Kontrolle über die bösartige Seite, die den Dienst Arbeiter registriert ist auch nicht erforderlich. Sobald die Registrierung abgeschlossen, der Arbeiter richtet einen Kommunikationskanal mit einem separaten Befehls- und Steuerserver.
Gibt es mitigations gegen marionet?
Der Bericht enthält auch „verschiedene Abwehrstrategien“ und bespricht „die entsprechenden Vor- und Nachteile sie bringen". Eine mögliche Abschwächung schlägt vor, die Einschränkung oder Sperrung der Service-Mitarbeiter, aber es ist nicht die beste Lösung:
Durch Erzwingen Einschränkungen, Service-Mitarbeiter die über den Hintergrund der Lage sein, um die Verarbeitung nicht, so zu begrenzen deutlich die Möglichkeiten der modernen Web-Anwendungen, was zu einem starken Abbau 11 von User Experience. Abzuschwächen, dass, eine bessere Lösung wäre selektiv für einige „trusted“ Websites Service-Mitarbeiter nur zu ermöglichen,, möglicherweise über eine Browser-Erweiterung, die bedingungslose Registrierung von Service-Mitarbeitern verhindert.
Die anderen Lösungen umfassen Verhaltensanalyse und Anomalie-Erkennung, erfordert die Zustimmung des Benutzers für die Registrierung und Aktivierung eines Servicemitarbeiters, und Anwenden von Whitelist / Backlist-Taktik „beschränkt den Browser, mit feinkörniger Politik, von Abrufen und Bereitstellen von Service-Mitarbeitern“.