T1176: Расширения браузеров
Злоумышленники могут использовать расширения браузера для закрепления в целевой системе. Расширения или плагины для браузеров — это небольшие программы, которые добавляют дополнительные функции и настраивают различные аспекты работы интернет-браузеров. Они могут быть установлены напрямую или через магазин приложений браузера и, как правило, имеют доступ ко всему, что доступно браузеру, с теми же разрешениями.
Вредоносные расширения могут быть установлены в браузер следующими способами: посредством загрузки вредоносного ПО, замаскированного под легитимное расширение, из магазина приложений; с помощью социальной инженерии; самим злоумышленником в уже скомпрометированной системе. Уровень безопасности магазинов приложений для браузеров может быть невысоким, поэтому вредоносные расширения могут обойти обнаружение автоматическими сканерами. В зависимости от браузера злоумышленники также могут производить манипуляции с URL-адресом обновления расширения для установки обновлений с контролируемого злоумышленниками сервера, а также манипулировать файлом конфигурации мобильного устройства для незаметной установки дополнительных расширений.
До появления macOS 11 злоумышленники могли незаметно устанавливать расширения браузера через командную строку, используя инструмент profiles
для установки вредоносных файлов .mobileconfig
. В macOS 11 и более поздних версиях больше нельзя устанавливать профили конфигурации с помощью инструмента profiles
, однако файлы .mobileconfig
могут быть загружены и установлены с участием пользователя.
После установки расширения оно может обращаться к веб-сайтам в фоновом режиме, похищать всю информацию, вводимую пользователем в браузере (включая учетные данные), а также использоваться в качестве установщика RAT-средств для закрепления в системе.
Также были зафиксированы случаи, когда ботнеты использовали закрепленный в системе бэкдор через вредоносные расширения Chrome для организации управления. Злоумышленники также могут использовать расширения браузеров, чтобы изменять разрешения и компоненты браузера, настройки конфиденциальности и другие средства управления безопасностью для предотвращения обнаружения.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, в командной строке которых содержится команда загрузки новых расширений в Google Chrome «chrome.exe --load-extension» или «chrome --load-extension», а также команда перехода на страницу chrome://extensions. Кроме прочего, рекомендуется выявлять подозрительные расширения браузеров
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте появление новых вхождений в реестре и запись исполняемых файлов (PE) на диск. Этому может сопутствовать установка расширений браузера. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых могут использоваться браузерные расширения для закрепления в системе. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут указывать на использование инструментов профилирования, например |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов и (или) установку расширений, которые оперируют файлами PLIST в каталоге |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Закрывайте все сеансы браузера после завершения их использования, чтобы предотвратить запуск потенциально вредоносных расширений. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Устанавливайте расширения для браузера только из надежных источников, которые можно проверить. Расширениями для некоторых браузеров можно управлять с помощью групповой политики. Измените настройки, чтобы браузер не устанавливал расширения без достаточных разрешений. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Установите разрешающий или запрещающий список расширений браузера в соответствии с политикой безопасности . |
---|
ID | M1047 | Название | Аудит | Описание | Убедитесь, что установленные расширения — это именно те расширения, которые вы хотите установить, так как многие вредоносные расширения маскируются под легитимные. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Проследите, чтобы операционные системы и браузеры были самых последних версий. |
---|