Группа исследователей из Технологического университета Граца в Австрии раскрыла детали новой атаки SnailLoad, который позволяет удаленному злоумышленнику определить просматриваемые пользователем сайты и другой контент.
Новая атака SnailLoad использует изменения сетевой задержки для определения активности пользователя и более эффективна, поскольку не требует PitM, JavaScript, взлома Wi-Fi-соединения или выполнения какого-либо кода в системе жертвы.
Причем исследователи продемонстрировали атаку, продемонстрировав, как можно определить видеоролики YouTube и веб-сайты, к которым обращается пользователь.
Для запуска SnailLoad злоумышленник проводит ряд измерений задержки для различных видео YouTube и веб-сайтов, которые может просматривать жертва. Эти данные реализуют трассировку задержки, по сути создавая отпечаток для каждого из них.
Затем необходимо заставить целевого пользователя загрузить данные с вредоносного сервера, включая файлы, таблицы стилей, шрифты, изображения или рекламу.
Основная угроза заключается в том, что любой TCP-сервер может скрытно получать данные о задержках от любых клиентов, подключающихся к нему.
Важным аспектом является то, что вредоносному серверу необходимо загружать контент медленно (отсюда и название SnailLoad), чтобы злоумышленник мог отслеживать задержку соединения в течение длительного периода времени.
Атака полагается на то, что серверы обычно имеют быстрое подключение к Интернету, в отличие от скорости, с которой трафик достигает систем интернет-провайдера или шлюза жертвы, где пакеты задерживаются. Эти узкие места полосы пропускания используются для измерения задержки.
Данные, полученные злоумышленником во время загрузки контента системой жертвы с вредоносного сервера, сравниваются с ранее созданным отпечатком, что позволяет злоумышленнику выяснить, какие из видеороликов или веб-сайтов в его списке просматриваются жертвой в другом окне во время проведения атаки SnailLoad.
Исследователи отметили, что злоумышленник может задействовать сверточную нейронную сеть (CNN), чтобы изучить трассировку задержки для каждого целевого актива.
Атаку почти невозможно смягчить, поскольку она полагается на принцип работы Интернета. Однако маловероятно, что SnailLoad будет использоваться в реальных условиях.
Тем не менее, в тестах, проведенных исследователями TU Graz на 10 видеороликах YouTube и 100 популярных сайтах, точность составила в диапазоне от 37% до 98%, в зависимости от типа целевого ресурса и интернет-соединения.
Результаты исследования ресерчеры намерены представить на Black Hat USA 2024. Также они опубликовали статью с описанием SnailLoad и создали отдельный сайт с демонстрацией атаки.
Мы в VK: https://vk.com/darkwebex
