T1176: Расширения браузеров

Злоумышленники могут использовать расширения браузера для закрепления в целевой системе. Расширения или плагины для браузеров — это небольшие программы, которые добавляют дополнительные функции и настраивают различные аспекты работы интернет-браузеров. Они могут быть установлены напрямую или через магазин приложений браузера и, как правило, имеют доступ ко всему, что доступно браузеру, с теми же разрешениями.

Вредоносные расширения могут быть установлены в браузер следующими способами: посредством загрузки вредоносного ПО, замаскированного под легитимное расширение, из магазина приложений; с помощью социальной инженерии; самим злоумышленником в уже скомпрометированной системе. Уровень безопасности магазинов приложений для браузеров может быть невысоким, поэтому вредоносные расширения могут обойти обнаружение автоматическими сканерами. В зависимости от браузера злоумышленники также могут производить манипуляции с URL-адресом обновления расширения для установки обновлений с контролируемого злоумышленниками сервера, а также манипулировать файлом конфигурации мобильного устройства для незаметной установки дополнительных расширений.

До появления macOS 11 злоумышленники могли незаметно устанавливать расширения браузера через командную строку, используя инструмент profiles для установки вредоносных файлов .mobileconfig. В macOS 11 и более поздних версиях больше нельзя устанавливать профили конфигурации с помощью инструмента profiles, однако файлы .mobileconfig могут быть загружены и установлены с участием пользователя.

После установки расширения оно может обращаться к веб-сайтам в фоновом режиме, похищать всю информацию, вводимую пользователем в браузере (включая учетные данные), а также использоваться в качестве установщика RAT-средств для закрепления в системе.

Также были зафиксированы случаи, когда ботнеты использовали закрепленный в системе бэкдор через вредоносные расширения Chrome для организации управления. Злоумышленники также могут использовать расширения браузеров, чтобы изменять разрешения и компоненты браузера, настройки конфиденциальности и другие средства управления безопасностью для предотвращения обнаружения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых содержится команда загрузки новых расширений в Google Chrome «chrome.exe --load-extension» или «chrome --load-extension», а также команда перехода на страницу chrome://extensions. Кроме прочего, рекомендуется выявлять подозрительные расширения браузеров

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте появление новых вхождений в реестре и запись исполняемых файлов (PE) на диск. Этому может сопутствовать установка расширений браузера.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, в которых могут использоваться браузерные расширения для закрепления в системе.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут указывать на использование инструментов профилирования, например profiles install -type=configuration.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов и (или) установку расширений, которые оперируют файлами PLIST в каталоге /Library/Managed Preferences/username/. Проследите, чтобы все указанные в списке файлы имели разрешенные расширения.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Закрывайте все сеансы браузера после завершения их использования, чтобы предотвратить запуск потенциально вредоносных расширений.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Устанавливайте расширения для браузера только из надежных источников, которые можно проверить. Расширениями для некоторых браузеров можно управлять с помощью групповой политики. Измените настройки, чтобы браузер не устанавливал расширения без достаточных разрешений.

IDM1038НазваниеЗащита от выполненияОписание

Установите разрешающий или запрещающий список расширений браузера в соответствии с политикой безопасности .

IDM1047НазваниеАудитОписание

Убедитесь, что установленные расширения — это именно те расширения, которые вы хотите установить, так как многие вредоносные расширения маскируются под легитимные.

IDM1051НазваниеОбновление ПООписание

Проследите, чтобы операционные системы и браузеры были самых последних версий.