Predstavljamo matricu taktika i tehnika za zlonamjerna proširenja preglednika

 

Većina nas se svakodnevno oslanja na proširenja preglednika, često bez razmišljanja o tome. Ona ubrzavaju i olakšavaju online rad spremanjem lozinki, blokiranjem oglasa, prevođenjem teksta, upravljanjem bilješkama ili povezivanjem naših omiljenih web aplikacija. Za mnoge organizacije proširenja su također postala praktična zamjena za tradicionalni softver za stolna računala. Kako je zlonamjerni softver na krajnjim točkama postajao sofisticiraniji, tvrtke su počele odustajati od instaliranja lokalnih aplikacija poput Microsoft Officea i drugog klijentskog softvera, odlučujući se umjesto toga sigurno pokretati sve u pregledniku. U ovom novom svijetu "preglednik na prvom mjestu", proširenja pomažu u vraćanju poznatih značajki i prečaca produktivnosti koji su se prije nalazili na radnoj površini. Nedostatak je što ova pogodnost također daje proširenjima dubok pristup podacima i računima, što ih čini sve privlačnijom metom za napadače.

Tijekom proteklih nekoliko godina, napadači su sve više iskorištavali ekosustav proširenja za krađu podataka, otimanje računa i izbjegavanje otkrivanja, a sve to dok se na pouzdanim tržištima predstavljaju kao legitimni. Kako bismo pomogli braniteljima da bolje razumiju i ublaže ove prijetnje, uvodimo Matrica taktika i tehnika za zlonamjerna proširenja preglednikastrukturirani okvir za opisivanje, otkrivanje i obranu od napada temeljenih na ekstenzijama

Zašto proširenja preglednika zaslužuju vlastitu matricu

Tradicionalni okviri poput MITRE ATT&CK pružaju izvrsnu pokrivenost za prijetnje krajnjim točkama i mreži, ali proširenja preglednika nalaze se u jedinstvenom prostoru između aplikacije i korisnika.

Oni:

  • raditi unutar pouzdanog procesa preglednika.
  • Kontrola pristupa korisnički podaci, tokeni za autentifikaciju i aktivne sesije.
  • Komunicirati izvana putem pozadinskih skripti ili web zahtjeva.
  • Ažuriraj tiho, ponekad bez interakcije korisnika.

Ova ponašanja se ne uklapaju uredno u tradicionalnu telemetriju poduzeća. SOC-ovi, DFIR timovi i inženjeri sigurnosti preglednika često opisuju istu aktivnost na nedosljedne načine, što otežava praćenje novih prijetnji ili automatizaciju otkrivanja.

Matrica popunjava tu prazninu uvođenjem uobičajeni vokabular za taktike i tehnike specifične za proširenja preglednika.

Što Matrica pruža

Matrica taktika i tehnika za zlonamjerna proširenja preglednika organizira načine na koje napadači zloupotrebljavaju proširenja preglednika u jasne, strukturirane kategorije. Svaki unos fokusira se na određenu tehniku, na primjer, modifikaciju zaglavlja, izvršavanje skripti ili lažiranje sadržaja, te objašnjava rizik od iskorištavanja povezan s tim.

Mapiranjem ovih taktika i tehnika u jedinstveni okvir, matrica daje sigurnosnim timovima, recenzentima i istraživačima zajednički jezik za opisivanje i određivanje prioriteta rizika. Ističe područja u kojima se proširenja mogu najlakše iskoristiti, pomažući organizacijama da usmjere svoje napore u prevenciji i politici tamo gdje su najvažniji.

Kako Matrix pomaže braniteljima

Matrica je dizajnirana da bude praktična referenca za sve odgovorne za sigurnost preglednika, bilo da se radi o analitičaru prijetnji, SOC inženjeru ili recenzentu trgovine aplikacija. Ne zamjenjuje postojeće alate ili pravila za otkrivanje; umjesto toga pomaže timovima uokvirite i odredite prioritete svoj rad koristeći zajedničko razumijevanje načina na koji zlonamjerna proširenja funkcioniraju.

Za branitelje, matrica nudi nekoliko jasnih prednosti:

  • Dosljedan jezik za incidente
    Kada se pojavi sumnjivo proširenje, analitičari mogu opisati njegovo ponašanje koristeći standardizirane izraze kao što su Upornost kroz pozadinske skripte or Izbacivanje podataka putem mrežnih zahtjeva što olakšava dokumentiranje nalaza i komunikaciju među timovima.
  • Prioritetizacija na temelju rizika
    Opisivanjem potencijalnog utjecaja svake tehnike, matrica pomaže organizacijama da identificiraju koji su rizici najrelevantniji za njihovo okruženje. Na primjer, poduzeće koje se uvelike oslanja na uređivanje dokumenata putem preglednika može se više usredotočiti na tehnike povezane s krađom vjerodajnica ili podataka.
  • Smjernice za politiku i procese pregleda
    Timovi za proizvode i trgovine aplikacija mogu koristiti matricu za oblikovanje kriterija za pregled proširenja, pravila o dopuštenjima i sigurnosnih kontrolnih popisa. Pruža strukturiran način obrazloženja zašto određena dopuštenja, obrasci koda ili ponašanja zaslužuju bližu analizu.
  • Temelj za budući obrambeni rad
    Iako ova početna verzija ne uključuje detaljne signale detekcije, stvara temelj za njihovu izgradnju. S vremenom organizacije mogu uskladiti svoje telemetrijske i strategije upozoravanja s taktikama i tehnikama definiranim ovdje.

U biti, matrica pomaže braniteljima vidjeti širu sliku pretvaranje izoliranih sigurnosnih događaja u dio koherentnog modela prijetnji za proširenja preglednika.

Odgovorna transparentnost, a ne uvredljive smjernice

Matrica je namjerno obrambene prirodeNe uključuje kod za iskorištavanje ili korake napada koje je moguće poduzeti. Svaka tehnika je opisana samo u mjeri u kojoj je to potrebno da je branitelji mogu prepoznati i sigurno ublažiti.

Naš je cilj podići osnovnu razinu za otkrivanje i otpornost, a ne pružiti protivnicima nove alate. Fokus je uvijek na uočljivi signali, metode detekcije i ublažavanja koji se mogu odgovorno operacionalizirati.

MATRIX

Izviđanje Razvoj resursa Početni pristup Izvršenje Upornost Povilegije eskalacije odbrana Utaja Pristup vjerodajnicama otkriće Bočno kretanje Kolekcija Zapovijedanje i nadzor Eksfiltracija Utjecaj
Prikupite podatke o identitetu Stjecanje sposobnosti Bočno punjenje Ugrađivanje skripti Postojanost putem lokalne pohrane Proširi dozvole hosta Sakrij podatke od korisnika Njuškanje zaglavlja DOM njuškanje Komunikacija izvornog hosta Prikupljanje lokalnih podataka Daljinsko upravljanje pravilima filtriranja mreže Širenje podataka Uskraćivanje usluge mreže: bombardiranje karticama
Popis sinkroniziranih uređaja preglednika Automatsko preuzimanje Kompromis u lancu opskrbe Iskorištavanje za izvršenje Ubrizgavanje skripte trajne stranice Potvrdi pristup Lažno predstavljanje sadržaja Prikupljanje pohranjenih vjerodajnica Otkrivanje lokacije sustava Obogaćivanje informacijama Komunikacija putem pohrane u oblaku Automatsko slanje obrasca Izmjena zaglavlja
Prikupljanje podataka o obrascima Nabavite infrastrukturu Pouzdani odnos Izvođenje skripte Zahtjev za dodatne dozvole Zamagljivanje/demaskiranje koda Prikupljanje podataka iz obrasca Otkrivanje informacija o sustavu Prikupljanje podataka skeniranja dokumenata Prijenos alata za ulaz Izlaz putem web servisa Manipulacija podacima: Manipulacija sadržajem
Kompromis u slučaju prolaska kroz vozilo Zlonamjerni URL Odgoda izvršenja Ukradi kolačić web sesije Otkrivanje proširenja Prijava Kolekcija Uspostavljanje mrežne veze Preuzimanje sadržaja
Izradi karticu Izbjegavanje provjera na strani poslužitelja Protivnik u sredini Otkrivanje informacija preglednika Prikupi atribute uređaja C2 temeljen na web uslugama Manipulacija oznakama
Otmica metode CORS zaobilaženje Neovlašteno korištenje mreže Otimanje pravila lokacije Prikupite tokene identiteta Web protokoli Nadjačavanje tražilice
Automatski klik Zataškane datoteke ili informacije Otimanje pravila o kolačićima Nabrajanje ciljeva preglednika Prikupljajte korisničke podatke Prijenos sirovih mrežnih paketa Ubrizgavanje sadržaja međuspremnika
Izmjena web pravila JavaScripta Zataškane datoteke ili informacije: Ogoljeni korisni sadržaji Presretanje višefaktorske autentifikacije Nabrajanje kriptografskih tokena Otimanje globalnih prečaca
Automatsko učitavanje Sakrij artefakte: Skriveni dokument izvan zaslona Izlaz putem web servisa Otkrivanje certifikata poduzeća Snimanje videozapisa
Ubrizgavanje skripte sadržaja Onemogući ili izmijeni alate Izmjena postupka autentifikacije Otkrivanje datoteka i direktorija Snimanje zvuka
Izvršenje naredbe Maskiranje Otkrivanje hardvera Screen Capture
Prijenos serijskih naredbi Uklanjanje indikatora: Povijest preglednika Otkrivanje procesa Snimanje ulaza
Uklanjanje indikatora: Podaci preglednika Otkrivanje konfiguracije mreže sustava Podaci o web komunikaciji
Uklanjanje indikatora: Preuzimanje zapisa Otkrivanje perifernih uređaja
Srušiti kontrole povjerenja
Skriveni datotečni sustav
Falciranje povijesti
Nedozvoljeno mijenjanje popisa za čitanje
Neovlašteno korištenje indikatora
Zaobilaženje Frame-Bustinga

Pogled u budućnost

Zlonamjerna proširenja nisu hipotetska prijetnja, već su dokazani, evoluirajući vektor napada. Kako preglednici nastavljaju širiti funkcionalnost i dopuštenja, braniteljima je potrebno strukturirano, djeljivo znanje kako bi ostali korak ispred.

The Matrica taktika i tehnika za zlonamjerna proširenja preglednika je korak prema tom cilju. Pruža istraživačima, SOC-ovima i dobavljačima preglednika zajedničku osnovu za nadogradnju, bilo da se radi o odgovoru na incidente, razvoju telemetrije ili evoluciji pravila trgovine.

Nastavit ćemo usavršavati matricu kako se budu pojavljivala nova ponašanja i mjere ublažavanja te pozivamo širu sigurnosnu zajednicu da doprinese povratnim informacijama i uvidima. Zajedno možemo učiniti ekosustave proširenja preglednika sigurnijima za sve.