Présentation de la matrice des tactiques et techniques pour les extensions de navigateur malveillantes
La plupart d'entre nous utilisons quotidiennement des extensions de navigateur, souvent sans même y penser. Elles facilitent et accélèrent le travail en ligne en sauvegardant les mots de passe, en bloquant les publicités, en traduisant du texte, en gérant les notes ou en connectant nos applications web préférées. Pour de nombreuses organisations, les extensions sont également devenues une alternative pratique aux logiciels de bureau traditionnels. Face à la sophistication croissante des logiciels malveillants ciblant les terminaux, les entreprises ont délaissé l'installation d'applications locales comme Microsoft Office et autres logiciels clients, préférant tout exécuter en toute sécurité dans le navigateur. Dans ce nouvel environnement où le navigateur est roi, les extensions permettent de retrouver des fonctionnalités familières et des raccourcis de productivité autrefois disponibles sur le bureau. Le revers de la médaille ? Cette facilité d'utilisation leur confère également un accès étendu aux données et aux comptes, ce qui en fait des cibles de plus en plus prisées par les pirates informatiques.
Ces dernières années, les attaquants ont exploité de plus en plus l'écosystème des extensions pour voler des données, pirater des comptes et échapper à la détection, tout en paraissant légitimes sur les plateformes de confiance. Afin d'aider les équipes de sécurité à mieux comprendre et atténuer ces menaces, nous lançons… Matrice des tactiques et techniques pour les extensions de navigateur malveillantes: un cadre structuré pour décrire, détecter et se défendre contre les attaques basées sur les extensions
Pourquoi les extensions de navigateur méritent leur propre matrice
Les frameworks traditionnels comme MITRE ATT&CK offrent une excellente couverture des menaces pesant sur les terminaux et le réseau, mais les extensions de navigateur occupent une place unique entre l'application et l'utilisateur.
Ils:
- Fonctionner dans le processus de confiance du navigateur.
- L’accès données utilisateur, jetons d'authentification et sessions actives.
- Communiquez extérieurement via des scripts d'arrière-plan ou des requêtes web.
- Mise à jour silencieuse, parfois sans interaction de l'utilisateur.
Ces comportements ne s'intègrent pas facilement dans les systèmes de télémétrie d'entreprise traditionnels. Les SOC, les équipes DFIR et les ingénieurs en sécurité des navigateurs décrivent souvent la même activité de manière incohérente, ce qui complique le suivi des menaces émergentes et l'automatisation des détections.
La matrice comble cette lacune en introduisant une vocabulaire commun pour les tactiques et techniques spécifiques aux extensions de navigateur.
Ce que la Matrice apporte
La matrice des tactiques et techniques relatives aux extensions de navigateur malveillantes organise les méthodes d'utilisation abusive de ces extensions par les attaquants en catégories claires et structurées. Chaque entrée se concentre sur une technique spécifique (modification d'en-tête, exécution de scripts, usurpation de contenu, etc.) et explique les risques d'exploitation associés.
En recensant ces tactiques et techniques dans un cadre unique, la matrice offre aux équipes de sécurité, aux analystes et aux chercheurs un langage commun pour décrire et hiérarchiser les risques. Elle met en évidence les domaines où les extensions sont les plus facilement exploitables, aidant ainsi les organisations à concentrer leurs efforts de prévention et de politique là où ils sont les plus pertinents.
Comment la Matrice aide les Défenseurs
La matrice est conçue pour être une référence pratique Ce document s'adresse à toute personne responsable de la sécurité des navigateurs, qu'il s'agisse d'un analyste des menaces, d'un ingénieur SOC ou d'un examinateur d'applications. Il ne remplace pas les outils de détection ou les politiques existants ; il vient plutôt en aide aux équipes. cadrer et prioriser leur travail repose sur une compréhension commune du fonctionnement des extensions malveillantes.
Pour les défenseurs, la matrice offre plusieurs avantages évidents :
- Langage cohérent pour les incidents
Lorsqu'une extension suspecte apparaît, les analystes peuvent décrire son comportement à l'aide de termes standardisés tels que Persistance via des scripts en arrière-plan or Exfiltration de données via requêtes réseau facilitant la documentation des résultats et la communication entre les équipes. - Priorisation basée sur les risques
En décrivant l'impact potentiel de chaque technique, la matrice aide les organisations à identifier les risques les plus pertinents pour leur environnement. Par exemple, une entreprise qui utilise fréquemment l'édition de documents via navigateur peut se concentrer davantage sur les techniques liées au vol d'identifiants ou de données. - Orientations relatives aux processus d'élaboration des politiques et d'examen
Les équipes produit et des plateformes de téléchargement d'applications peuvent utiliser cette matrice pour définir les critères d'examen des extensions, les politiques d'autorisation et les listes de contrôle de sécurité. Elle offre une méthode structurée pour justifier pourquoi certaines autorisations, certains modèles de code ou certains comportements méritent un examen plus approfondi. - Fondation pour les travaux futurs de défense
Bien que cette version initiale ne comprenne pas de signaux de détection détaillés, elle pose les bases de leur élaboration. Progressivement, les organisations pourront adapter leurs stratégies de télémétrie et d'alerte aux tactiques et techniques décrites ici.
En substance, la matrice aide les défenseurs voir la situation dans son ensemble Intégrer des événements de sécurité isolés dans un modèle de menaces cohérent pour les extensions de navigateur.
Transparence responsable, pas conseils offensants
La matrice est intentionnellement de nature défensiveCe document ne contient aucun code d'exploitation ni aucune procédure d'attaque concrète. Chaque technique est décrite uniquement dans la mesure nécessaire aux équipes de défense pour la reconnaître et la contrer en toute sécurité.
Notre objectif est d'améliorer les capacités de détection et de résilience, et non de fournir de nouveaux outils aux adversaires. L'accent est toujours mis sur signaux observables, méthodes de détection et mesures d'atténuation qui peut être mise en œuvre de manière responsable.
La matrice
| Reconnaissance | Développement des ressources | Accès initial | Internationaux | Persistence | Elévation de Privilèges | Défense Évasion | Accès aux informations d'identification | Découverte | Mouvement latéral | Collection | Commander et contrôler | exfiltration | Impact |
| Collecte d'informations d'identité | Obtenir des capacités | Chargement latéral | Intégration de scripts | Persistance via le stockage local | Développer les autorisations de l'hôte | Masquer les données à l'utilisateur | Détection d'en-tête | Reniflement de DOM | Communication avec l'hôte natif | Collecte de données locales | Contrôle à distance de la politique de filtrage réseau | Exfiltration de données | Attaque par déni de service réseau : bombardement d’onglets |
| Énumération des appareils de navigation synchronisés | Téléchargement automatique | Compromis de la chaîne d’approvisionnement | Exploitation à des fins d'exécution | Injection de script de page persistante | Vérifier l'accès | Usurpation de contenu | Récupération des identifiants stockés | Découverte de l'emplacement du système | Enrichissement de l'information | Communication via le stockage cloud | Formulaire de soumission automatique | Modification de l'en-tête | |
| Collecte de données sur les modèles | Acquérir des infrastructures | Relation de confiance | Exécution du script | Demande d'autorisations supplémentaires | Obfuscation/désobfuscation du code | Collecte des identifiants de formulaire | Découverte des informations système | Collecte de données de numérisation de documents | Transfert d'outil d'entrée | Exfiltration via un service Web | Manipulation des données : Manipulation du contenu | ||
| Compromis au volant | URL malveillante | Retarder l'exécution | Voler le cookie de session Web | Extension Discovery | Collection de connexion | Établir une connexion réseau | Téléchargement de contenu | ||||||
| Créer un onglet | Éviter les vérifications côté serveur | Adversaire au milieu | Découverte des informations du navigateur | Collecte des attributs de l'appareil | C2 basé sur les services Web | Manipulation des signets | |||||||
| Détournement de méthode | Contournement CORS | Manipulation du réseau | Détournement de la politique de localisation | Collecter les jetons d'identité | Protocoles Web | Remplacement du moteur de recherche | |||||||
| Clic automatique | Fichiers ou informations obscurcis | Détournement de la politique relative aux cookies | Énumération des cibles du navigateur | Collecte des informations de l'utilisateur | Transmission de paquets réseau bruts | Injection de contenu du presse-papiers | |||||||
| Manipulation des politiques Web JavaScript | Fichiers ou informations obfusqués : charges utiles supprimées | Interception de l'authentification multifacteurs | Énumération des jetons cryptographiques | Détournement de raccourci global | |||||||||
| Chargement automatique | Masquer les artefacts : Document caché hors écran | Exfiltration via un service Web | Découverte des certificats d'entreprise | Capture vidéo | |||||||||
| Injection de script de contenu | Désactiver ou modifier les outils | Modifier le processus d'authentification | Découverte de fichiers et de répertoires | Capture audio | |||||||||
| Exécution de la commande | Mascarade | Découverte matérielle | Capture d'écran | ||||||||||
| Transmission de commandes en série | Suppression de l'indicateur : historique du navigateur | Découverte de processus | Capture d'entrée | ||||||||||
| Suppression de l'indicateur : données du navigateur | Découverte de la configuration réseau du système | Données de communication Web | |||||||||||
| Suppression de l'indicateur : Télécharger les enregistrements | Découverte de périphériques | ||||||||||||
| Renverser les contrôles de confiance | |||||||||||||
| Système de fichiers caché | |||||||||||||
| Manipulation de l'historique | |||||||||||||
| Falsification de la liste de lecture | |||||||||||||
| Falsification d'indicateur | |||||||||||||
| Contournement de la destruction d'images |
Perspectives
Les extensions malveillantes ne constituent pas une menace hypothétique : il s’agit d’un vecteur d’attaque avéré et en constante évolution. Face à l’enrichissement continu des fonctionnalités et des autorisations des navigateurs, les équipes de sécurité ont besoin de connaissances structurées et partageables pour garder une longueur d’avance.
Le Matrice des tactiques et techniques pour les extensions de navigateur malveillantes Il s'agit d'un pas vers cet objectif. Cela offre aux chercheurs, aux SOC et aux fournisseurs de navigateurs une base commune sur laquelle s'appuyer, que ce soit pour la réponse aux incidents, le développement de la télémétrie ou l'évolution des politiques des boutiques d'applications.
Nous continuerons d'affiner la matrice à mesure que de nouveaux comportements et mesures d'atténuation émergeront, et nous invitons la communauté de la sécurité au sens large à nous faire part de ses commentaires et de ses idées. Ensemble, nous pouvons rendre les écosystèmes d'extensions de navigateur plus sûrs pour tous.