Představujeme matici taktik a technik pro škodlivá rozšíření prohlížeče
Většina z nás se denně spoléhá na rozšíření prohlížeče, často aniž bychom o tom přemýšleli. Zrychlují a usnadňují práci online tím, že ukládají hesla, blokují reklamy, překládají text, spravují poznámky nebo propojují naše oblíbené webové aplikace. Pro mnoho organizací se rozšíření stala také praktickou náhradou tradičního desktopového softwaru. S tím, jak se malware na koncových bodech stával sofistikovanějším, se společnosti začaly odklánět od instalace lokálních aplikací, jako je Microsoft Office a další klientský software, a místo toho se rozhodly vše bezpečně spouštět v prohlížeči. V tomto novém světě „prohlížeče na prvním místě“ pomáhají rozšíření obnovit známé funkce a zkratky pro produktivitu, které dříve existovaly na ploše. Nevýhodou je, že tato výhoda také poskytuje rozšířením hluboký přístup k datům a účtům, což z nich činí stále atraktivnější cíl pro útočníky.
V posledních několika letech útočníci stále častěji zneužívají ekosystém rozšíření ke krádeži dat, únosům účtů a vyhýbání se odhalení, a to vše při pohledu na důvěryhodné trhy. Abychom obráncům pomohli těmto hrozbám lépe porozumět a zmírnit je, představujeme… Matice taktik a technik pro škodlivá rozšíření prohlížečestrukturovaný rámec pro popis, detekci a obranu proti útokům založeným na rozšířeních
Proč si rozšíření prohlížeče zaslouží vlastní matici
Tradiční frameworky jako MITRE ATT&CK poskytují vynikající pokrytí pro koncové body a síťové hrozby, ale rozšíření prohlížeče se nacházejí v jedinečném prostoru mezi aplikací a uživatelem.
Ony:
- Pracovat uvnitř důvěryhodného procesu prohlížeče.
- Získat přístup uživatelská data, ověřovací tokeny a aktivní relace.
- Komunikovat navenek prostřednictvím skriptů na pozadí nebo webových požadavků.
- Tichá aktualizace, někdy bez interakce s uživatelem.
Toto chování se nehodí do tradiční podnikové telemetrie. SOC, týmy DFIR a bezpečnostní inženýři prohlížečů často popisují stejnou aktivitu nekonzistentním způsobem, což ztěžuje sledování nově vznikajících hrozeb nebo automatizaci detekce.
Matice tuto mezeru vyplňuje zavedením běžná slovní zásoba pro taktiky a techniky specifické pro rozšíření prohlížeče.
Co poskytuje Matrix
Matice taktik a technik pro škodlivá rozšíření prohlížeče uspořádává způsoby, jakými útočníci zneužívají rozšíření prohlížeče, do jasných a strukturovaných kategorií. Každá položka se zaměřuje na konkrétní techniku, například modifikaci záhlaví, spuštění skriptu nebo falšování obsahu, a vysvětluje rizika zneužití s tím spojená.
Zmapováním těchto taktik a technik v jednotném rámci poskytuje matice bezpečnostním týmům, kontrolorům a výzkumníkům společný jazyk pro popis a prioritizaci rizik. Zdůrazňuje oblasti, kde lze rozšíření nejsnáze zneužít, a pomáhá organizacím zaměřit své úsilí o prevenci a politiku tam, kde je to nejdůležitější.
Jak Matrix pomáhá obráncům
Matice je navržena tak, aby praktický referenční materiál pro kohokoli, kdo je zodpovědný za zabezpečení prohlížeče, ať už je to analytik hrozeb, inženýr SOC nebo recenzent obchodu s aplikacemi. Nenahrazuje stávající detekční nástroje ani zásady; místo toho pomáhá týmům rámce a priority jejich práci s využitím sdíleného chápání fungování škodlivých rozšíření.
Pro obránce nabízí matice několik jasných výhod:
- Konzistentní jazyk pro incidenty
Když se objeví podezřelé rozšíření, analytici mohou popsat jeho chování pomocí standardizovaných termínů, jako například Perzistence prostřednictvím skriptů na pozadí or Exfiltrace dat prostřednictvím síťových požadavků což usnadňuje dokumentaci zjištění a komunikaci mezi týmy. - Stanovení priorit na základě rizik
Nastíněním potenciálního dopadu každé techniky pomáhá matice organizacím identifikovat, která rizika jsou pro jejich prostředí nejrelevantnější. Například podnik, který se silně spoléhá na úpravu dokumentů v prohlížeči, se může více zaměřit na techniky související s krádeží přihlašovacích údajů nebo dat. - Pokyny pro procesy politiky a přezkumu
Týmy pro produkty a obchody s aplikacemi mohou matici využít k utváření kritérií pro kontrolu rozšíření, zásad pro oprávnění a bezpečnostních kontrolních seznamů. Poskytuje strukturovaný způsob, jak zdůvodnit, proč si určitá oprávnění, vzory kódu nebo chování zaslouží bližší kontrolu. - Základ pro budoucí obrannou práci
I když tato počáteční verze neobsahuje podrobné detekční signály, vytváří základ pro jejich budování. Postupem času mohou organizace sladit své telemetrické a varovné strategie s taktikami a technikami definovanými zde.
V podstatě matice pomáhá obráncům vidět širší souvislosti přeměna izolovaných bezpečnostních událostí na součást uceleného modelu hrozeb pro rozšíření prohlížeče.
Zodpovědná transparentnost, nikoli urážlivé pokyny
Matice je záměrně obranné povahyNeobsahuje kód pro zneužití ani akční kroky útoku. Každá technika je popsána pouze v rozsahu nezbytném pro to, aby ji obránci mohli bezpečně rozpoznat a zmírnit následky.
Naším cílem je zvýšit základní úroveň detekce a odolnosti, nikoli poskytnout protivníkům nové nástroje. Důraz je vždy kladen na pozorovatelné signály, metody detekce a zmírňování dopadů které lze zodpovědně provozovat.
MATRIX
| Průzkum | Rozvoj zdrojů | Počáteční přístup | Provedení | Perzistence | Privilege eskalace | Obrana Evasion | Přístup k pověření | objev | Boční pohyb | Sbírka | Velení a řízení | Exfiltrace | Dopad |
| Shromažďování informací o totožnosti | Získejte schopnosti | Boční plnění | Vkládání skriptů | Perzistence prostřednictvím lokálního úložiště | Rozbalit oprávnění hostitele | Skrýt data před uživatelem | Čichání záhlaví | DOM sniffing | Nativní komunikace s hostitelem | Lokální sběr dat | Dálkové ovládání přes zásady filtrování sítě | Exfiltrace dat | Odmítnutí služby v síti: bombardování záložkami |
| Výčet synchronizovaných prohlížečových zařízení | Automatické stahování | Kompromis v dodavatelském řetězci | Vykořisťování za účelem popravy | Vkládání skriptů do perzistentní stránky | Ověřte přístup | Padělaný obsah | Sběr uložených přihlašovacích údajů | Zjišťování polohy systému | Obohacování informací | Komunikace prostřednictvím cloudového úložiště | Formulář pro automatické odeslání | Úprava záhlaví | |
| Shromažďování dat o vzorcích | Získejte infrastrukturu | Důvěryhodný vztah | provádění skriptu | Požádat o další oprávnění | Zmatkování/deobfuskace kódu | Sběr přihlašovacích údajů z formuláře | Zjišťování systémových informací | Sběr dat ze skenování dokumentů | Přenos nástroje Ingress | Exfiltrace přes webovou službu | Manipulace s daty: Manipulace s obsahem | ||
| Kompromis z jízdy kolem | Škodlivá adresa URL | Zpoždění provedení | Ukradnout soubor cookie webové relace | Objevování rozšíření | Přihlášení do kolekce | Navázání síťového připojení | Stažení obsahu | ||||||
| Vytvořit kartu | Vyhněte se kontrolám na straně serveru | Protivník uprostřed | Zjišťování informací z prohlížeče | Shromažďování atributů zařízení | C2 založené na webových službách | Manipulace se záložkami | |||||||
| Únos metody | obchvat CORS | Manipulace se sítí | Únos zásad pro umístění | Sbírejte tokeny identity | Webové protokoly | Přepsání vyhledávače | |||||||
| Automatické kliknutí | Zamlžené soubory nebo informace | Únos zásad používání souborů cookie | Výčet cílů prohlížeče | Shromažďování informací o uživateli | Přenos síťových paketů v surovém stavu | Vložení obsahu schránky | |||||||
| Manipulace s webovými zásadami JavaScriptu | Zmateněné soubory nebo informace: Odstraněné datové části | Zachycení vícefaktorového ověřování | Výčet kryptografických tokenů | Globální únos zkratek | |||||||||
| Automatické načítání | Skrýt artefakty: Skrytý dokument mimo obrazovku | Exfiltrace přes webovou službu | Vyhledávání podnikových certifikátů | Záznam videa | |||||||||
| Vkládání skriptu obsahu | Zakázat nebo upravit nástroje | Upravit proces ověřování | Zjišťování souborů a adresářů | Záznam zvuku | |||||||||
| Provedení příkazu | Maškaráda | Vyhledávání hardwaru | Screen capture | ||||||||||
| Sériový přenos příkazů | Odstranění indikátoru: Historie prohlížeče | Zjištění procesu | Zachycení vstupu | ||||||||||
| Odstranění indikátoru: Data prohlížeče | Zjišťování konfigurace sítě systému | Data webové komunikace | |||||||||||
| Odstranění indikátoru: Stažení záznamů | Zjišťování periferních zařízení | ||||||||||||
| Podvracení kontrol důvěryhodnosti | |||||||||||||
| Skrytý souborový systém | |||||||||||||
| Falšování historie | |||||||||||||
| Změna seznamu četby | |||||||||||||
| Indikátor manipulace | |||||||||||||
| Obchvat pro potlačení frameworků |
Pohled do budoucna
Škodlivá rozšíření nejsou hypotetickou hrozbou, ale osvědčeným, vyvíjejícím se vektorem útoku. Vzhledem k tomu, že prohlížeče neustále rozšiřují funkce a oprávnění, obránci potřebují strukturované a sdílené znalosti, aby si udrželi náskok.
Jedno Matice taktik a technik pro škodlivá rozšíření prohlížeče je krokem k tomuto cíli. Poskytuje výzkumníkům, SOC a dodavatelům prohlížečů společný základ, na kterém mohou stavět, ať už jde o reakci na incidenty, vývoj telemetrie nebo vývoj zásad obchodu.
Budeme i nadále zdokonalovat matici s tím, jak se budou objevovat nová chování a zmírňující opatření, a zveme širší bezpečnostní komunitu, aby přispěla zpětnou vazbou a poznatky. Společně můžeme ekosystémy rozšíření prohlížečů bezpečnější pro všechny.