Predstavljamo matricu taktika i tehnika za zlonamjerna proširenja preglednika

Većina nas se svakodnevno oslanja na proširenja preglednika, često bez razmišljanja o tome. Ona ubrzavaju i olakšavaju online rad spremanjem lozinki, blokiranjem oglasa, prevođenjem teksta, upravljanjem bilješkama ili povezivanjem naših omiljenih web aplikacija. Za mnoge organizacije proširenja su također postala praktična zamjena za tradicionalni softver za stolna računala. Kako je zlonamjerni softver na krajnjim točkama postajao sofisticiraniji, tvrtke su počele odustajati od instaliranja lokalnih aplikacija poput Microsoft Officea i drugog klijentskog softvera, odlučujući se umjesto toga sigurno pokretati sve u pregledniku. U ovom novom svijetu "preglednik na prvom mjestu", proširenja pomažu u vraćanju poznatih značajki i prečaca produktivnosti koji su se prije nalazili na radnoj površini. Nedostatak je što ova pogodnost također daje proširenjima dubok pristup podacima i računima, što ih čini sve privlačnijom metom za napadače.
Tijekom proteklih nekoliko godina, napadači su sve više iskorištavali ekosustav proširenja za krađu podataka, otimanje računa i izbjegavanje otkrivanja, a sve to dok se na pouzdanim tržištima predstavljaju kao legitimni. Kako bismo pomogli braniteljima da bolje razumiju i ublaže ove prijetnje, uvodimo Matrica taktika i tehnika za zlonamjerna proširenja preglednikastrukturirani okvir za opisivanje, otkrivanje i obranu od napada temeljenih na ekstenzijama
Zašto proširenja preglednika zaslužuju vlastitu matricu
Tradicionalni okviri poput MITRE ATT&CK pružaju izvrsnu pokrivenost za prijetnje krajnjim točkama i mreži, ali proširenja preglednika nalaze se u jedinstvenom prostoru između aplikacije i korisnika.
Oni:
- raditi unutar pouzdanog procesa preglednika.
- Kontrola pristupa korisnički podaci, tokeni za autentifikaciju i aktivne sesije.
- Komunicirati izvana putem pozadinskih skripti ili web zahtjeva.
- Ažuriraj tiho, ponekad bez interakcije korisnika.
Ova ponašanja se ne uklapaju uredno u tradicionalnu telemetriju poduzeća. SOC-ovi, DFIR timovi i inženjeri sigurnosti preglednika često opisuju istu aktivnost na nedosljedne načine, što otežava praćenje novih prijetnji ili automatizaciju otkrivanja.
Matrica popunjava tu prazninu uvođenjem uobičajeni vokabular za taktike i tehnike specifične za proširenja preglednika.
Što Matrica pruža
Matrica taktika i tehnika za zlonamjerna proširenja preglednika organizira načine na koje napadači zloupotrebljavaju proširenja preglednika u jasne, strukturirane kategorije. Svaki unos fokusira se na određenu tehniku, na primjer, modifikaciju zaglavlja, izvršavanje skripti ili lažiranje sadržaja, te objašnjava rizik od iskorištavanja povezan s tim.
Mapiranjem ovih taktika i tehnika u jedinstveni okvir, matrica daje sigurnosnim timovima, recenzentima i istraživačima zajednički jezik za opisivanje i određivanje prioriteta rizika. Ističe područja u kojima se proširenja mogu najlakše iskoristiti, pomažući organizacijama da usmjere svoje napore u prevenciji i politici tamo gdje su najvažniji.
Kako Matrix pomaže braniteljima
Matrica je dizajnirana da bude praktična referenca za sve odgovorne za sigurnost preglednika, bilo da se radi o analitičaru prijetnji, SOC inženjeru ili recenzentu trgovine aplikacija. Ne zamjenjuje postojeće alate ili pravila za otkrivanje; umjesto toga pomaže timovima uokvirite i odredite prioritete svoj rad koristeći zajedničko razumijevanje načina na koji zlonamjerna proširenja funkcioniraju.
Za branitelje, matrica nudi nekoliko jasnih prednosti:
- Dosljedan jezik za incidente
Kada se pojavi sumnjivo proširenje, analitičari mogu opisati njegovo ponašanje koristeći standardizirane izraze kao što su Upornost kroz pozadinske skripte or Izbacivanje podataka putem mrežnih zahtjeva što olakšava dokumentiranje nalaza i komunikaciju među timovima. - Prioritetizacija na temelju rizika
Opisivanjem potencijalnog utjecaja svake tehnike, matrica pomaže organizacijama da identificiraju koji su rizici najrelevantniji za njihovo okruženje. Na primjer, poduzeće koje se uvelike oslanja na uređivanje dokumenata putem preglednika može se više usredotočiti na tehnike povezane s krađom vjerodajnica ili podataka. - Smjernice za politiku i procese pregleda
Timovi za proizvode i trgovine aplikacija mogu koristiti matricu za oblikovanje kriterija za pregled proširenja, pravila o dopuštenjima i sigurnosnih kontrolnih popisa. Pruža strukturiran način obrazloženja zašto određena dopuštenja, obrasci koda ili ponašanja zaslužuju bližu analizu. - Temelj za budući obrambeni rad
Iako ova početna verzija ne uključuje detaljne signale detekcije, stvara temelj za njihovu izgradnju. S vremenom organizacije mogu uskladiti svoje telemetrijske i strategije upozoravanja s taktikama i tehnikama definiranim ovdje.
U biti, matrica pomaže braniteljima vidjeti širu sliku pretvaranje izoliranih sigurnosnih događaja u dio koherentnog modela prijetnji za proširenja preglednika.
Odgovorna transparentnost, a ne uvredljive smjernice
Matrica je namjerno obrambene prirodeNe uključuje kod za iskorištavanje ili korake napada koje je moguće poduzeti. Svaka tehnika je opisana samo u mjeri u kojoj je to potrebno da je branitelji mogu prepoznati i sigurno ublažiti.
Naš je cilj podići osnovnu razinu za otkrivanje i otpornost, a ne pružiti protivnicima nove alate. Fokus je uvijek na uočljivi signali, metode detekcije i ublažavanja koji se mogu odgovorno operacionalizirati.
MATRIX
| Izviđanje | Razvoj resursa | Početni pristup | Izvršenje | Upornost | Povilegije eskalacije | odbrana Utaja | Pristup vjerodajnicama | otkriće | Bočno kretanje | Kolekcija | Zapovijedanje i nadzor | Eksfiltracija | Utjecaj |
| Prikupite podatke o identitetu | Stjecanje sposobnosti | Bočno punjenje | Ugrađivanje skripti | Postojanost putem lokalne pohrane | Proširi dozvole hosta | Sakrij podatke od korisnika | Njuškanje zaglavlja | DOM njuškanje | Komunikacija izvornog hosta | Prikupljanje lokalnih podataka | Daljinsko upravljanje pravilima filtriranja mreže | Širenje podataka | Uskraćivanje usluge mreže: bombardiranje karticama |
| Popis sinkroniziranih uređaja preglednika | Automatsko preuzimanje | Kompromis u lancu opskrbe | Iskorištavanje za izvršenje | Ubrizgavanje skripte trajne stranice | Potvrdi pristup | Lažno predstavljanje sadržaja | Prikupljanje pohranjenih vjerodajnica | Otkrivanje lokacije sustava | Obogaćivanje informacijama | Komunikacija putem pohrane u oblaku | Automatsko slanje obrasca | Izmjena zaglavlja | |
| Prikupljanje podataka o obrascima | Nabavite infrastrukturu | Pouzdani odnos | Izvođenje skripte | Zahtjev za dodatne dozvole | Zamagljivanje/demaskiranje koda | Prikupljanje podataka iz obrasca | Otkrivanje informacija o sustavu | Prikupljanje podataka skeniranja dokumenata | Prijenos alata za ulaz | Izlaz putem web servisa | Manipulacija podacima: Manipulacija sadržajem | ||
| Kompromis u slučaju prolaska kroz vozilo | Zlonamjerni URL | Odgoda izvršenja | Ukradi kolačić web sesije | Otkrivanje proširenja | Prijava Kolekcija | Uspostavljanje mrežne veze | Preuzimanje sadržaja | ||||||
| Izradi karticu | Izbjegavanje provjera na strani poslužitelja | Protivnik u sredini | Otkrivanje informacija preglednika | Prikupi atribute uređaja | C2 temeljen na web uslugama | Manipulacija oznakama | |||||||
| Otmica metode | CORS zaobilaženje | Neovlašteno korištenje mreže | Otimanje pravila lokacije | Prikupite tokene identiteta | Web protokoli | Nadjačavanje tražilice | |||||||
| Automatski klik | Zataškane datoteke ili informacije | Otimanje pravila o kolačićima | Nabrajanje ciljeva preglednika | Prikupljajte korisničke podatke | Prijenos sirovih mrežnih paketa | Ubrizgavanje sadržaja međuspremnika | |||||||
| Izmjena web pravila JavaScripta | Zataškane datoteke ili informacije: Ogoljeni korisni sadržaji | Presretanje višefaktorske autentifikacije | Nabrajanje kriptografskih tokena | Otimanje globalnih prečaca | |||||||||
| Automatsko učitavanje | Sakrij artefakte: Skriveni dokument izvan zaslona | Izlaz putem web servisa | Otkrivanje certifikata poduzeća | Snimanje videozapisa | |||||||||
| Ubrizgavanje skripte sadržaja | Onemogući ili izmijeni alate | Izmjena postupka autentifikacije | Otkrivanje datoteka i direktorija | Snimanje zvuka | |||||||||
| Izvršenje naredbe | Maskiranje | Otkrivanje hardvera | Screen Capture | ||||||||||
| Prijenos serijskih naredbi | Uklanjanje indikatora: Povijest preglednika | Otkrivanje procesa | Snimanje ulaza | ||||||||||
| Uklanjanje indikatora: Podaci preglednika | Otkrivanje konfiguracije mreže sustava | Podaci o web komunikaciji | |||||||||||
| Uklanjanje indikatora: Preuzimanje zapisa | Otkrivanje perifernih uređaja | ||||||||||||
| Srušiti kontrole povjerenja | |||||||||||||
| Skriveni datotečni sustav | |||||||||||||
| Falciranje povijesti | |||||||||||||
| Nedozvoljeno mijenjanje popisa za čitanje | |||||||||||||
| Neovlašteno korištenje indikatora | |||||||||||||
| Zaobilaženje Frame-Bustinga |
Pogled u budućnost
Zlonamjerna proširenja nisu hipotetska prijetnja, već su dokazani, evoluirajući vektor napada. Kako preglednici nastavljaju širiti funkcionalnost i dopuštenja, braniteljima je potrebno strukturirano, djeljivo znanje kako bi ostali korak ispred.
The Matrica taktika i tehnika za zlonamjerna proširenja preglednika je korak prema tom cilju. Pruža istraživačima, SOC-ovima i dobavljačima preglednika zajedničku osnovu za nadogradnju, bilo da se radi o odgovoru na incidente, razvoju telemetrije ili evoluciji pravila trgovine.
Nastavit ćemo usavršavati matricu kako se budu pojavljivala nova ponašanja i mjere ublažavanja te pozivamo širu sigurnosnu zajednicu da doprinese povratnim informacijama i uvidima. Zajedno možemo učiniti ekosustave proširenja preglednika sigurnijima za sve.