Представляем матрицу тактик и методов борьбы со вредоносными расширениями браузера.
Большинство из нас ежедневно использует расширения для браузера, часто даже не задумываясь об этом. Они делают работу в интернете быстрее и проще, сохраняя пароли, блокируя рекламу, переводя текст, управляя заметками или объединяя наши любимые веб-приложения. Для многих организаций расширения также стали практичной заменой традиционному настольному программному обеспечению. По мере того, как вредоносное ПО на конечных устройствах становилось все более изощренным, компании начали отказываться от установки локальных приложений, таких как Microsoft Office и другое клиентское программное обеспечение, предпочитая вместо этого безопасно запускать все в браузере. В этом новом мире, ориентированном на браузер, расширения помогают восстановить привычные функции и сочетания клавиш для повышения производительности, которые раньше находились на рабочем столе. Недостатком является то, что это удобство также предоставляет расширениям глубокий доступ к данным и учетным записям, что делает их все более привлекательной целью для злоумышленников.
В последние несколько лет злоумышленники все чаще используют экосистему расширений для кражи данных, взлома учетных записей и обхода систем обнаружения, при этом выдавая себя за легитимные компании на проверенных торговых площадках. Чтобы помочь специалистам по защите лучше понимать и противодействовать этим угрозам, мы представляем... Матрица тактик и методов борьбы со вредоносными расширениями браузера: структурированная система для описания, обнаружения и защиты от атак, основанных на расширениях.
Почему расширения для браузеров заслуживают собственной матрицы
Традиционные фреймворки, такие как MITRE ATT&CK, обеспечивают превосходную защиту от угроз на конечных устройствах и в сети, но расширения для браузеров находятся в уникальном пространстве между приложением и пользователем.
Oни:
- работать внутри доверенного процесса браузера.
- О компании данные пользователя, токены аутентификации и активные сессии.
- Взаимодействие внешне посредством фоновых скриптов или веб-запросов.
- Обновление в фоновом режимеИногда без участия пользователя.
Такое поведение не вписывается в традиционную корпоративную телеметрию. Центры оперативного реагирования на инциденты, группы цифровой криминалистики и инженеры по безопасности браузеров часто описывают одну и ту же активность непоследовательно, что затрудняет отслеживание возникающих угроз или автоматизацию обнаружения.
Матрица заполняет этот пробел, вводя общий словарный запас для тактик и методов, специфичных для расширений браузера.
Что дает Матрица
Матрица тактик и методов использования вредоносных расширений браузера систематизирует способы злоупотребления расширениями браузера злоумышленниками, разделяя их на четкие, структурированные категории. Каждая запись посвящена конкретному методу, например, изменению заголовка, выполнению скрипта или подмене контента, и объясняет связанный с ним риск эксплуатации.
Благодаря систематизации этих тактик и методов в рамках единой структуры, матрица предоставляет группам безопасности, экспертам и исследователям общий язык для описания и приоритизации рисков. Она выделяет области, где расширения могут быть наиболее легко использованы злоумышленниками, помогая организациям сосредоточить свои усилия по предотвращению и разработке политики там, где это наиболее важно.
Как «Матрица» помогает защитникам
Матрица предназначена для того, чтобы практическое руководство Это приложение предназначено для всех, кто отвечает за безопасность браузеров, будь то аналитик угроз, инженер центра оперативного реагирования или модератор магазинов приложений. Оно не заменяет существующие инструменты или политики обнаружения; вместо этого оно помогает командам. сформулируйте и расставьте приоритеты В своей работе они опираются на общее понимание того, как работают вредоносные расширения.
Для защитников эта матрица предлагает ряд очевидных преимуществ:
- Единая формулировка для описания инцидентов
Когда появляется подозрительное расширение, аналитики могут описать его поведение, используя стандартизированные термины, такие как... Сохранение работоспособности с помощью фоновых скриптов or Извлечение данных посредством сетевых запросов Это упрощает документирование результатов и обмен информацией между командами. - Приоритезация на основе риска
Описывая потенциальное воздействие каждой методики, матрица помогает организациям определить, какие риски наиболее актуальны для их среды. Например, предприятие, активно использующее редактирование документов через браузер, может больше сосредоточиться на методах, связанных с кражей учетных данных или данных. - Руководство по разработке политики и процессам анализа
Команды разработчиков продуктов и магазинов приложений могут использовать эту матрицу для формирования критериев проверки расширений, политик разрешений и контрольных списков безопасности. Она предоставляет структурированный способ обоснования того, почему определенные разрешения, шаблоны кода или модели поведения заслуживают более тщательной проверки. - Основа для будущей работы в сфере обороны
Хотя эта первоначальная версия не включает подробные сигналы обнаружения, она закладывает основу для их создания. Со временем организации смогут привести свои стратегии телеметрии и оповещения в соответствие с тактикой и методами, описанными здесь.
По сути, матрица помогает защитникам. увидеть общую картину превращение отдельных событий безопасности в часть целостной модели угроз для расширений браузера.
Ответственная прозрачность, а не оскорбительные рекомендации.
Матрица создана намеренно. оборонительного характераВ нем не содержится эксплойт-код или конкретные шаги атаки. Каждая техника описана только в той мере, в какой это необходимо для того, чтобы защитники могли распознать и безопасно нейтрализовать ее.
Наша цель — повысить базовый уровень обнаружения и устойчивости, а не предоставить противникам новые инструменты. В центре внимания всегда находится... наблюдаемые сигналы, методы обнаружения и меры по их смягчению что можно ответственно внедрить на практике.
МАТРИЦА
| разведывательный | Развитие ресурсов | Первоначальный доступ | Типы | Настойчивость | Повышение привилегий | Защита Уклонение | Доступ к учетным данным | Дискавери | Боковое движение | | Управление и контроль | эксфильтрации | Влияние |
| Соберите информацию, удостоверяющую личность. | Получить возможности | Боковая загрузка | Встраивание скриптов | Сохранение данных через локальное хранилище | Расширить права доступа хоста | Скрыть данные от пользователя | Анализ заголовков | DOM-сканирование | Собственная связь хоста | Сбор локальных данных | Удаленное управление политикой сетевой фильтрации | Эксфильтрация данных | Сетевая атака типа «отказ в обслуживании»: «бомбардировка вкладками» |
| Перечисление синхронизированных браузерных устройств | Автозагрузка | Компромисс в цепочке поставок | Эксплуатация для исполнения | Постоянное внедрение скриптов на страницу | Подтвердить доступ | Подмена контента | Извлечение сохраненных учетных данных | Обнаружение местоположения системы | Обогащение информации | Связь через облачное хранилище | Форма автоматической отправки | Модификация заголовка | |
| Сбор данных о закономерностях | Приобретение инфраструктуры | Доверительные отношения | Выполнение скрипта | Запросить дополнительные разрешения | Обфускация/деобфускация кода | Сбор учетных данных формы | Обнаружение системной информации | Сбор данных сканирования документов | Входной инструмент передачи | Эксфильтрация через веб-сервис | Обработка данных: манипулирование контентом | ||
| Проездной компромисс | Вредоносный URL | Задержка исполнения | Украсть файл cookie веб-сессии | Обнаружение расширений | Коллекция входов | Установить сетевое соединение | Загрузка контента | ||||||
| Создать вкладку | Обход проверок на стороне сервера | Противник посередине | Обнаружение информации о браузере | Сбор атрибутов устройства | C2 на основе веб-сервисов | Манипулирование закладками | |||||||
| Перехват метода | обход CORS | Вмешательство в сеть | Перехват политики местоположения | Собирайте токены идентификации. | Веб-протоколы | Переопределение поисковой системы | |||||||
| Автоматический клик | Замаскированные файлы или информация | Перехват политики использования файлов cookie | Перечисление целевых объектов браузера | Сбор информации о пользователе | Передача необработанных сетевых пакетов | Внедрение содержимого буфера обмена | |||||||
| Изменение веб-политик JavaScript | Зашифрованные файлы или информация: Удалённая полезная нагрузка | Перехват многофакторной аутентификации | Перечисление криптографических токенов | Перехват глобального ярлыка | |||||||||
| Автоматическая загрузка | Скрыть артефакты: Скрытый документ, находящийся за пределами видимой области экрана. | Эксфильтрация через веб-сервис | Обнаружение корпоративных сертификатов | Video Capture | |||||||||
| Внедрение скриптов контента | Отключить или изменить инструменты | Изменение процесса аутентификации | Обнаружение файлов и каталогов | Аудиозапись | |||||||||
| Выполнение команды | Маскарад | Обнаружение оборудования | Захват экрана | ||||||||||
| Последовательная передача команд | Удаление индикатора: История браузера | Обнаружение процесса | Захват ввода | ||||||||||
| Удаление индикатора: данные браузера | Обнаружение конфигурации сети системы | Данные веб-коммуникации | |||||||||||
| Удаление индикатора: Загрузка записей | Обнаружение периферийных устройств | ||||||||||||
| Подрыв контроля доверия | |||||||||||||
| Скрытая файловая система | |||||||||||||
| фальсификация истории | |||||||||||||
| Подделка списка литературы | |||||||||||||
| Подделка индикатора | |||||||||||||
| Обход блокировки кадров |
Взгляд в будущее
Вредоносные расширения — это не гипотетическая угроза, а проверенный, постоянно развивающийся вектор атаки. Поскольку функциональность и права доступа браузеров постоянно расширяются, специалистам по защите необходимы структурированные, доступные для обмена знания, чтобы оставаться на шаг впереди.
Матрица тактик и методов борьбы со вредоносными расширениями браузера Это шаг к достижению этой цели. Он предоставляет исследователям, центрам мониторинга безопасности и производителям браузеров общую основу для разработки решений в области реагирования на инциденты, разработки телеметрии или совершенствования политики магазинов приложений.
Мы продолжим совершенствовать матрицу по мере появления новых моделей поведения и способов их смягчения, и приглашаем всё сообщество специалистов по безопасности делиться своими отзывами и идеями. Вместе мы сможем сделать экосистемы расширений для браузеров более безопасными для всех.