“新的浏览器攻击使黑客即使在客户离开网页后也可以运行错误的代码”

希腊学者设计了一种基于浏览器的新攻击，允许用户关闭和导航受感染的网页，从而允许黑客在客户的浏览器中执行恶意代码。

这场被称为marionet的新攻击，打开了从客户端浏览器组装巨大僵尸互联网的大门。 研究人员称，这些僵尸互联网包括浏览器中的密码开采( cryptojacking )、ddos攻击、恶意文件的托管/共享、分布式密码的破解、代理互联网的创建、广告点击诈骗和流量统计。

marionet攻击是构建基于浏览器的僵尸互联网的类似概念的升级，在12年前的2007年的puppetnets研究论文中有论述。

两者的区别在于，marionet在客户关闭浏览器选项卡或离开托管恶意代码的站点后生存下来。

这是可能的。 因为现代web浏览器现在支持一种叫做服务工作器的新api。 通过该机制，网站可以将显示页面的客户界面操作与解决大量计算任务的操作分开，以防止在解决大量数据时冻结网页的ui。

从技术上讲，服务商是一个叫做web workers的旧api的更新。 但是，与web人员不同，服务人员注册并激活后，无需客户继续浏览加载服务人员的网站，即可在页面后台运行。

人偶的巧妙拼写( marionet )利用了服务人员在现代浏览器中提供的功能。

攻击例程包括在客户登录攻击者管理的站点时注册服务商，并在客户离开后滥用服务商的syncmanager接口使服务商保持活动状态。

攻击是无声的，不需要与任何类型的顾客进行对话。 因为浏览器在注册服务商之前不会警告顾客或请求许可。 当客户等待网站加载时，一切都发生在浏览器内部。 此外，任何web浏览器都没有可显示的指示器，因此客户不知道网站已经在服务人员中注册了。

另外，从攻击的立场来看，也无法区别马里奥网攻击。 例如，攻击者可以感染站点a的客户，但随后控制服务b的所有服务商。

这样，攻击者可以在流量较大的站点上短时间放置恶意代码，获得庞大的客户群，删除恶意代码，但仍可以从另一个中央服务器控制感染的浏览器。

另外，通过滥用web push api，marionet攻击在浏览器重新启动时也可以继续存在。 但是，要访问此api，攻击者必须从受感染的主机获得客户的许可。

然后，用marionet技术创建的后续僵尸互联网将通过浏览器中的密码挖掘( cryptojacking )、ddos攻击、恶意文件的托管/共享、分布式密码的破解、代理互联网的创建、广泛

最初的marionet攻击和之后的僵尸互联网操作不需要攻击者利用浏览器的漏洞，而只滥用现有的javascript执行功能和新的html5 api。

例如，要使用受感染的marionet自动机托管文件，需要内置的数据存储api。 这些api已经在浏览器中提供，可以在网站上从客户端计算机保存和检索文件。 这使得几乎不可能检测到marionet感染和随后的攻击。

由于几年前推出了service workers，marionet攻击几乎适用于所有台式机和移动浏览器。 只有ie (台式机)、OPERA迷你)和黑莓( blackberry )移动版无法进行marionet攻击。

研究论文还阐述了如何防止marionet检测恶意软件浏览器的扩展和采矿对策，并提出了使浏览器制造商可以使用的缓解措施。

marionet攻击将于今天在美国圣地亚哥举行的ndss 2019大会上公布。 关于marionet，它的主题是互联网木偶达人“滥用权力的网络浏览器的持续和隐藏计算”，提供了可以与研究论文一起下载pdf的样式。

本文：《“新的浏览器攻击使黑客即使在客户离开网页后也可以运行错误的代码”》