De flesta av oss förlitar oss på webbläsartillägg varje dag, ofta utan att tänka på det. De gör onlinearbete snabbare och enklare genom att spara lösenord, blockera annonser, översätta text, hantera anteckningar eller koppla samman våra favoritwebbappar. För många organisationer har tillägg också blivit en praktisk ersättning för traditionell skrivbordsprogramvara. I takt med att skadlig kod för slutpunkter blev mer sofistikerad började företag gå ifrån att installera lokala applikationer som Microsoft Office och annan klientprogramvara och valde istället att köra allt säkert i webbläsaren. I denna nya "webbläsarstyrda" värld hjälper tillägg till att återställa bekanta funktioner och produktivitetsgenvägar som brukade finnas på skrivbordet. Nackdelen är att denna bekvämlighet också ger tillägg djupgående åtkomst till data och konton, vilket gör dem till ett alltmer attraktivt mål för angripare.
Under de senaste åren har angripare i allt högre grad utnyttjat tilläggsekosystemet för att stjäla data, kapa konton och undvika upptäckt, samtidigt som de framstår som legitima på betrodda marknadsplatser. För att hjälpa försvarare att bättre förstå och mildra dessa hot introducerar vi Taktik- och teknikmatris för skadliga webbläsartilläggett strukturerat ramverk för att beskriva, upptäcka och försvara sig mot tilläggsbaserade attacker
Varför webbläsartillägg förtjänar sin egen matris
Traditionella ramverk som MITRE ATT&CK ger utmärkt täckning för endpoint- och nätverkshot, men webbläsartillägg finns i ett unikt utrymme mellan applikation och användare.
De:
- Manövrera inuti webbläsarens betrodda process.
- Få åtkomst till användardata, autentiseringstokens och aktiva sessioner.
- Kommunicera externt via bakgrundsskript eller webbförfrågningar.
- Uppdatera tyst, ibland utan användarinteraktion.
Dessa beteenden passar inte perfekt in i traditionell företagstelemetri. SOC:er, DFIR-team och webbläsarsäkerhetsingenjörer beskriver ofta samma aktivitet på inkonsekventa sätt, vilket gör det svårare att spåra nya hot eller automatisera detekteringar.
Matrisen fyller det gapet genom att introducera en gemensamt ordförråd för webbläsartilläggsspecifika taktiker och tekniker.
Vad matrisen ger
Taktik- och teknikmatrisen för skadliga webbläsartillägg organiserar hur angripare missbrukar webbläsartillägg i tydliga, strukturerade kategorier. Varje post fokuserar på en specifik teknik, till exempel rubrikmodifiering, skriptkörning eller innehållsförfalskning, och förklarar risken för utnyttjande som är förknippad med det.
Genom att kartlägga dessa taktiker och tekniker i ett enda ramverk ger matrisen säkerhetsteam, granskare och forskare ett gemensamt språk för att beskriva och prioritera risker. Den belyser de områden där tillägg lättast kan utnyttjas, vilket hjälper organisationer att fokusera sina förebyggande och policyinsatser där de är viktigast.
Hur matrisen hjälper försvarare
Matrisen är utformad för att vara en praktisk referens för alla som ansvarar för webbläsarsäkerhet, oavsett om det är en hotanalytiker, en SOC-ingenjör eller en appbutiksgranskare. Det ersätter inte befintliga detekteringsverktyg eller policyer; istället hjälper det team rama in och prioritera sitt arbete med hjälp av en gemensam förståelse för hur skadliga tillägg fungerar.
För försvarare erbjuder matrisen flera tydliga fördelar:
- Konsekvent språkbruk vid incidenter
När ett misstänkt tillägg visas kan analytiker beskriva dess beteende med hjälp av standardiserade termer som Persistens genom bakgrundsskript or Dataexfiltrering via nätverksförfrågningar vilket gör det enklare att dokumentera resultat och kommunicera mellan team. - Riskbaserad prioritering
Genom att beskriva den potentiella effekten av varje teknik hjälper matrisen organisationer att identifiera vilka risker som är mest relevanta för deras miljö. Till exempel kan ett företag som i hög grad förlitar sig på webbläsarbaserad dokumentredigering fokusera mer på tekniker relaterade till stöld av autentiseringsuppgifter eller datastöld. - Vägledning för policy- och granskningsprocesser
Produkt- och appbutiksteam kan använda matrisen för att utforma granskningskriterier för tillägg, behörighetspolicyer och säkerhetschecklistor. Den ger ett strukturerat sätt att resonera kring varför vissa behörigheter, kodmönster eller beteenden förtjänar närmare granskning. - Grunden för framtida försvarsarbete
Även om den här första versionen inte innehåller detaljerade detekteringssignaler, skapar den grunden för att bygga dem. Med tiden kan organisationer anpassa sina telemetri- och varningsstrategier till de taktiker och tekniker som definieras här.
I grund och botten hjälper matrisen försvarare se den större bilden omvandla isolerade säkerhetshändelser till en del av en sammanhängande hotmodell för webbläsartillägg.
Ansvarsfull transparens, inte kränkande vägledning
Matrisen är avsiktligt defensiv till sin naturDen inkluderar inte exploitkod eller åtgärder som kan vidtas för attacker. Varje teknik beskrivs endast i den utsträckning det är nödvändigt för att försvarare ska kunna känna igen och mildra den på ett säkert sätt.
Vårt mål är att höja baslinjen för upptäckt och motståndskraft, inte att förse motståndare med nya verktyg. Fokus ligger alltid på observerbara signaler, detekteringsmetoder och begränsningsåtgärder som kan drivas på ett ansvarsfullt sätt.
MATRIXEN
| Spaning | Resursutveckling | Initial åtkomst | Utförande | Persistens | Privilegieupptrappning | Försvar Evasion | Legitimationsåtkomst | Discovery | Lateral rörelse | Samling | Command and Control | exfiltration | Inverkan |
| Samla in identitetsinformation | Skaffa förmågor | Sidolast | Bädda in skript | Persistens genom lokal lagring | Expandera värdbehörigheter | Dölj data från användaren | Rubriksniffning | DOM-sniffning | Inbyggd värdkommunikation | Lokal datainsamling | Fjärrkontroll över nätverksfiltreringspolicy | Datafiltrering | Nätverksöverbelastning: Tab Bombing |
| Uppräkning av synkroniserade webbläsarenheter | Auto-nedladdning | Kompromëss i leveranskedjan | Utnyttjande för avrättning | Injektion av permanent sidskript | Verifiera åtkomst | Innehållsförfalskning | Insamling av lagrad autentiseringsuppgifter | Systemplats upptäckt | Informationsberikning | Kommunikation via molnlagring | Formulär för automatisk inlämning | Rubrikändring | |
| Mönsterdatainsamling | Förvärva infrastruktur | Pålitligt förhållande | Utförande av skript | Begär ytterligare behörigheter | Kodförvirring/Deobfuskation | Insamling av formuläruppgifter | Systeminformation upptäckt | Insamling av dokumentskanningsdata | Ingress Tool Transfer | Exfiltration Over Web Service | Datamanipulation: Innehållsmanipulation | ||
| Drive-by-kompromiss | Skadlig URL | Fördröjning av körning | Stjäla webbsessionskaka | Tilläggsupptäckt | Inloggningssamling | Upprätta nätverksanslutning | Nedladdning av innehåll | ||||||
| Skapa flik | Undvik kontroller på serversidan | Motståndare-i-mitten | Upptäckt webbläsarinformation | Samla in enhetsattribut | Webbtjänstbaserad C2 | Manipulation av bokmärken | |||||||
| Metodkapning | CORS-förbikoppling | Nätverksmanipulering | Kapning av platspolicy | Samla identitetstokens | Webbprotokoll | Åsidosättning av sökmotorer | |||||||
| Autoklick | Fördubblade filer eller information | Kapning av cookies | Uppräkning av webbläsarmål | Samla in användarinformation | Rå nätverkspaketöverföring | Inmatning av innehåll i urklipp | |||||||
| Manipulering av JavaScript-webbpolicy | Obfuskerade filer eller information: Avskalade nyttolaster | Avlyssning av flerfaktorsautentisering | Kryptografisk tokenuppräkning | Kapning av globala genvägar | |||||||||
| Automatisk laddning | Dölj artefakter: Dolt dokument utanför skärmen | Exfiltration Over Web Service | Identifiering av företagscertifikat | Videoinspelning | |||||||||
| Injektion av innehållsskript | Inaktivera eller ändra verktyg | Ändra autentiseringsprocessen | Arkiv- och katalogupptäckt | Audio Capture | |||||||||
| Kommandoexekvering | Maskerad | Hårdvaruupptäckt | Screen Capture | ||||||||||
| Seriell kommandoöverföring | Borttagning av indikator: Webbläsarhistorik | Processupptäckt | Indatafångst | ||||||||||
| Indikatorborttagning: Webbläsardata | System Network Configuration Discovery | Webbkommunikationsdata | |||||||||||
| Borttagning av indikator: Ladda ner poster | Upptäckt av kringutrustning | ||||||||||||
| Omgärda förtroendekontroller | |||||||||||||
| Dolt filsystem | |||||||||||||
| Historikmanipulering | |||||||||||||
| Manipulering av läslista | |||||||||||||
| Indikatormanipulering | |||||||||||||
| Rambrytande förbikoppling |
Ser framåt
Skadliga tillägg är inte ett hypotetiskt hot, utan en beprövad, föränderlig attackvektor. I takt med att webbläsare fortsätter att utöka funktionalitet och behörigheter behöver försvarare strukturerad, delbar kunskap för att ligga steget före.
Ocuco-landskapet Taktik- och teknikmatris för skadliga webbläsartillägg är ett steg mot det målet. Det ger forskare, SOC:er och webbläsarleverantörer en gemensam grund att bygga vidare på, oavsett om det gäller incidenthantering, telemetriutveckling eller utveckling av butikspolicyer.
Vi kommer att fortsätta att förfina matrisen allt eftersom nya beteenden och begränsningar dyker upp, och vi uppmanar den bredare säkerhetsgemenskapen att bidra med feedback och insikter. Tillsammans kan vi göra ekosystem för webbläsartillägg säkrare för alla.
