我们大多数人每天都依赖浏览器扩展程序,而且往往不假思索。它们通过保存密码、屏蔽广告、翻译文本、管理笔记或连接我们常用的网络应用,让在线工作更加快捷方便。对于许多企业而言,扩展程序也已成为传统桌面软件的实用替代品。随着终端恶意软件日益复杂,企业开始放弃安装本地应用程序(例如 Microsoft Office 和其他客户端软件),转而选择在浏览器中安全地运行所有程序。在这个全新的“浏览器优先”时代,扩展程序帮助我们恢复了以往在桌面端使用的熟悉功能和快捷方式。然而,这种便利也带来了负面影响:扩展程序能够深入访问数据和帐户,使其成为攻击者日益青睐的目标。
过去几年,攻击者越来越多地利用扩展程序生态系统窃取数据、劫持账户并逃避检测,同时还能在可信市场中伪装成合法程序。为了帮助防御者更好地了解和缓解这些威胁,我们推出了…… 恶意浏览器扩展程序的策略与技巧矩阵:一个用于描述、检测和防御基于扩展的攻击的结构化框架
为什么浏览器扩展程序值得拥有自己的矩阵
MITRE ATT&CK 等传统框架为端点和网络威胁提供了极佳的覆盖范围,但浏览器扩展程序处于应用程序和用户之间的独特空间。
他们:
- 操作 在浏览器的受信任进程内部.
- Access 用户数据、身份验证令牌和活动会话.
- 沟通联系 外部 通过后台脚本或网络请求。
- 静默更新有时甚至无需用户交互。
这些行为无法完全融入传统的企业遥测体系。安全运营中心 (SOC)、数字取证与事件响应 (DFIR) 团队和浏览器安全工程师对同一活动的描述往往不一致,这使得追踪新兴威胁或实现自动化检测变得更加困难。
该矩阵通过引入一个 常用词汇 针对浏览器扩展程序的特定策略和技巧。
矩阵提供了什么
恶意浏览器扩展程序策略与技术矩阵将攻击者滥用浏览器扩展程序的方式归纳为清晰、结构化的类别。每个条目都侧重于一种特定技术,例如修改标头、执行脚本或内容欺骗,并解释与之相关的攻击风险。
通过将这些策略和技术整合到一个统一的框架中,该矩阵为安全团队、审查人员和研究人员提供了一种通用语言,用于描述风险并确定其优先级。它突出了扩展程序最容易被利用的领域,帮助组织将预防和策略工作集中在最关键的地方。
《黑客帝国》如何帮助捍卫者联盟
该矩阵的设计目的是 实用参考书 适用于所有负责浏览器安全的人员,无论是威胁分析师、安全运营中心工程师还是应用商店审核员。它不会取代现有的检测工具或策略;相反,它能帮助团队更好地管理浏览器安全。 制定框架并确定优先级 他们利用对恶意扩展程序运行方式的共同理解开展工作。
对于防御者而言,该矩阵具有以下几个明显的优势:
- 事件描述采用一致的语言
当出现可疑的扩展程序时,分析人员可以使用标准化的术语来描述其行为,例如: 通过后台脚本实现持久化 or 通过网络请求进行数据泄露 使记录调查结果和跨团队沟通变得更加容易。 - 基于风险的优先级排序
通过概述每项技术的潜在影响,该矩阵可以帮助组织识别哪些风险与其环境最为相关。例如,严重依赖基于浏览器的文档编辑的企业可以更加关注与凭证或数据窃取相关的技术。 - 政策和审查流程指南
产品团队和应用商店团队可以使用该矩阵来制定扩展程序审核标准、权限策略和安全检查清单。它提供了一种结构化的方法来分析为什么某些权限、代码模式或行为值得更仔细的审查。 - 未来国防工作的基础
尽管此初始版本不包含详细的检测信号,但它为构建这些信号奠定了基础。随着时间的推移,各组织可以将自身的遥测和警报策略与此处定义的策略和技术相结合。
从本质上讲,该矩阵有助于防御者 从更宏观的角度来看待问题。 将孤立的安全事件转化为浏览器扩展程序连贯威胁模型的一部分。
负责任的透明,而非冒犯性的指导
该矩阵是故意设计的。 具有防御性质它不包含漏洞利用代码或可操作的攻击步骤。每项技术都仅描述到防御者能够安全识别和缓解的必要程度。
我们的目标是提高检测和恢复能力的基准,而不是为对手提供新的工具。重点始终是 可观测信号、检测方法和缓解措施 能够负责任地实施。
黑客帝国
| 侦察 | 资源开发 | 初始访问 | 执行 | 坚持 | 特权升级 | 国防 闪避 | 凭证访问 | 探索更多 | 横向运动 | 购物 | 指挥和控制 | 渗出 | 冲击 |
| 收集身份信息 | 获得能力 | 侧装式 | 嵌入脚本 | 通过本地存储实现持久化 | 展开主机权限 | 对用户隐藏数据 | 头部嗅探 | DOM 嗅探 | 原生主机通信 | 本地数据收集 | 远程控制网络过滤策略 | 数据渗漏 | 网络拒绝服务攻击:标签页轰炸 |
| 同步浏览器设备枚举 | 自动下载 | 供应链妥协 | 利用漏洞执行 | 持久页面脚本注入 | 验证访问权限 | 内容欺骗 | 存储凭证收集 | 系统位置发现 | 信息丰富 | 通过云存储进行通信 | 自动提交表单 | 修改报头 | |
| 模式数据收集 | 获得基础设施 | 信任关系 | 脚本执行 | 请求额外权限 | 代码混淆/反混淆 | 表单凭证收集 | 系统信息发现 | 文档扫描数据采集 | 入口工具传输 | 通过 Web 服务进行渗透 | 数据操纵:内容操纵 | ||
| 驾车妥协 | 恶意网址 | 延迟执行 | 窃取网络会话 Cookie | 扩展发现 | 登录集合 | 建立网络连接 | 内容下载 | ||||||
| 创建选项卡 | 规避服务器端检查 | 中间对手 | 浏览器信息发现 | 收集设备属性 | 基于Web服务的C2 | 书签操作 | |||||||
| 方法劫持 | CORS旁路 | 网络篡改 | 位置策略劫持 | 收集身份令牌 | 网络协议 | 搜索引擎覆盖 | |||||||
| 自动点击 | 混淆的文件或信息 | Cookie 政策劫持 | 浏览器目标枚举 | 收集用户信息 | 原始网络数据包传输 | 剪贴板内容注入 | |||||||
| JavaScript Web 策略篡改 | 混淆文件或信息:精简有效载荷 | 多因素身份验证拦截 | 加密令牌枚举 | 全球快捷方式劫持 | |||||||||
| 自动加载 | 隐藏图像:隐藏的屏幕外文档 | 通过 Web 服务进行渗透 | 企业证书发现 | 视频捕捉 | |||||||||
| 内容脚本注入 | 禁用或修改工具 | 修改身份验证流程 | 文件和目录发现 | 音频捕获 | |||||||||
| 命令执行 | 伪装 | 硬件发现 | 屏幕录制 | ||||||||||
| 串行命令传输 | 指示器移除:浏览器历史记录 | 进程发现 | 输入捕捉 | ||||||||||
| 指标移除:浏览器数据 | 系统网络配置发现 | 网络通信数据 | |||||||||||
| 指标移除:下载记录 | 外围设备发现 | ||||||||||||
| 颠覆信任控制 | |||||||||||||
| 隐藏文件系统 | |||||||||||||
| 篡改历史 | |||||||||||||
| 阅读清单篡改 | |||||||||||||
| 指示器篡改 | |||||||||||||
| 帧破坏旁路 |
展望未来
恶意扩展程序并非假设中的威胁,而是已被证实且不断演变的攻击途径。随着浏览器功能和权限的不断扩展,防御者需要结构化、可共享的知识才能保持领先地位。
此 恶意浏览器扩展程序的策略与技巧矩阵 这是朝着该目标迈出的一步。它为研究人员、安全运营中心 (SOC) 和浏览器厂商提供了一个共同的基础,无论用于事件响应、遥测开发还是商店策略演进。
我们将随着新行为和缓解措施的出现不断完善该矩阵,并诚邀更广泛的安全社区贡献反馈和见解。携手合作,我们可以让浏览器扩展生态系统对每个人都更加安全。
