Kuidas 119 pahatahtlikku laiendust muutsid Edge'i lisandmoodulite poe ründeplatvormiks

Tavaline brauserilaiendus on väike usalduspakett. Kasutajad installivad reklaamiblokeerijaid ja VPN-e ootusega, et need tööriistad töötavad nende kasuks, mitte nende vastu. Microsoft demonteeris hiljuti massiivse operatsiooni, mis pööras selle suhte ümber. Kampaania nimega StegoAd hõlmas 119 pahatahtlikku laiendust Microsoft Edge Add-ons poes. Need laiendused olid aktiivsed aastaid, saavutades kokku 2,6 miljonit installimist. Operatsioon on varjamise meistriklass, kasutades steganograafiat pahatahtliku sisu peitmiseks failidesse, mis panevad veebi korrektselt välja nägema ja toimima.

Riski seisukohast on kokkupuute ulatus märkimisväärne. Kuigi Microsoft märgib, et 2,6 miljonit on ülempiir, mitte kinnitatud ohvrite arv, viitab StegoAd-i arhitektuurne keerukus professionaalsele planeerimisele. Laiendused tegid täpselt seda, mida lubasid. Nad blokeerisid reklaame, tõlkisid teksti ja laadisid alla videoid. Nad teenisid positiivseid arvustusi. Kulisside taga ootasid nad aga konkreetseid tingimusi, et käivitada sekundaarne, pahatahtlik elutsükkel. See oli kannatlik rünnak, mis oli loodud mööduma automaatsetest skanneritest, mis valvavad kaasaegseid brauseriökosüsteeme.

Aeglase nakatumise arhitektuur

Rünnakuahela tagasiulatuv uurimine paljastab metoodilise lähenemise uinuvale olekule. StegoAd-i taga olev osapool mõistis, et kohene pahatahtlik tegevus on brauserilaiendusele surmaotsus. Enamik 119 laiendusest jäid pärast installimist mitmeks päevaks ohutuks. See viivitus on tavaline taktika, kuid ründaja läks kaugemale. Nad rakendasid rida kõrvalehoidmiskontrolle, et tagada laienduse "ärkamine" ainult tegeliku kasutaja masinas.

Üks kontroll otsis brauseri arendajatööriistade (DevTools) olemasolu. Kui analüütik avas inspektori, et näha, mida laiendus teeb, märkas kood muudatust ja pikendas oma uinuva oleku perioodi. See peitis käitumise tõhusalt kõigi eest, kes seda otsisid. Proaktiivselt kasutas ründaja teatud variantide puhul ka 10%-list täitmisläve. See tähendab, et ainult üks kümnest installist käivitas tegelikult pahavara. Turvauurija jaoks, kes üritab teatatud viga reprodutseerida, pahavara lihtsalt ei ilmuks.

See valikuline täitmine muutis kasutajaskonna massiivseks detsentraliseeritud testkeskkonnaks. Ründaja sai täiustada oma skripte ja andmete väljaviimise meetodeid väikesel osal kasutajatest, samal ajal kui ülejäänud 90% pakkusid kilpi legitiimse tegevuse ja kõrgete hinnangute näol. Laiendused rändasid isegi Manifest V2-lt Manifest V3-le, kui Chromiumi platvorm arenes. See näitab pikaajalist pühendumust Edge'i kasutajaskonnale juurdepääsu säilitamiseks.

Kuidas steganograafia muutis ikoonid relvadeks

Kampaania tuumaks on steganograafia ehk andmete peitmine teiste andmete sisse. Ründaja kasutas oma JavaScripti sisu kandjatena pilte ja fondifaile. StegoAd-i varaseimates versioonides lisati pahavara PNG-ikooni IEND-markeri järel. See marker ütleb pildivaaturile, et fail on läbi. Kõike, mis järgneb sellele markerile, ignoreeritakse renderdamisel, kuid see jääb skriptile kättesaadavaks. Staatilisele skannerile näib fail kehtiva ja kahjutu ikoonina.

Tuvastamisvahendite paranedes kohanes ka ründaja. Nad viisid oma sisu üle WebP-piltidesse ja WOFF2-fondifailidesse. WOFF2-failid on pakitud veebifondid, mis sisaldavad glüüfivahemikke ja metaandmeid. Ründaja peitis koodi nendesse vahemikesse, muutes sisu sarnaseks Aasia tekstile või fondi meetrikale. Microsoft kirjeldab steganograafiat sellises mahus brauserilaienduste valdkonnas haruldasena. See on suure pingutusega tehnika, mis nõuab ründajalt meediafailide käsitsi loomist või muutmist, et tagada nende toimimine koos krüpteeritud "salakaubaga".

Mõne suure mõjuga variandi puhul ei olnud sisu isegi kohalikes laiendusfailides olemas. Laiendus hankis tavapärase välimusega pildi juhtserverist (C2). Pärast allalaadimist dekodeeris laiendus pildi läbi mitme kihi tõstutundlikkuse muutmise, numbrite asendamise, Base64-kodeeringu ja XOR-operatsioonide. Seejärel kontrollis see saadud skripti digitaalallkirja vastu enne selle käivitamist. See protsess tagab, et pahatahtlikku loogikat ei salvestata kunagi kettale loetavas vormingus.

Juht- ja kontrollinfrastruktuuri kaitsmine

StegoAd-i taustasüsteem oli sama vastupidav kui laiendused ise. Ründaja kasutas rohkem kui kümmet juhtserveri domeeni koos automaatse ümberlülitusvõimekusega. Kui üks domeen blokeeriti või suleti, võtsid laiendused automaatselt ühendust varuserveriga. Liikluse täiendavaks peitmiseks suunasid operaatorid oma päringud läbi Cloudflare Workersi. See pani pahatahtliku liikluse näima legitiimsete API-kutsetena maineka pilveteenuse pakkuja poole.

Serveripoolne valideerimine toimis kui VIP-klubi turvamees igal uksel. Kui laiendus päris sisu, kontrollis server brauseri sõrmejälge ja User-Agent stringi. Kui päring tuli teadaolevast uurimiskeskkonnast või automaatsest liivakastist, tagastas server tühja peibutusvastuse. Olen näinud sellist paranoiat arenenud püsivate ohtude (APT) puhul, kuid see on vähem levinud reklaamvarakampaaniates. See viitab sellele, et operaator oli väga motiveeritud kaitsma oma tööriistakomplekti avastamise eest.

GitHub Pages oli veel üks tööriist ründaja arsenalis. Nad kasutasid platvormi majakate (beacons) majutamiseks, pakkudes laiendustele usaldusväärset domeeni uuenduste kontrollimiseks. Kuritarvitades legitiimset infrastruktuuri, tagasid StegoAd-i operaatorid, et nende liiklus sulandus tüüpilise ettevõtte- või koduvõrgu taustamürasse. Selle liikluse tuvastamine nõuab enamat kui lihtsalt halbade IP-aadresside loendit; see nõuab käitumuslikku analüüsi selle kohta, kuidas laiendus veebiga suhestub.

Reklaamipettus kui andmete väljaviimise suitsukate

StegoAd-i nakkuse kõige nähtavam osa oli reklaamipettus. Laiendused süstisid veebilehtedele reklaame, kaaperdasid partnerlustasusid sellistel saitidel nagu Amazon ja eBay ning suunasid ümber otsingupäringuid. See on pahavara "lärmakas" osa, mis on loodud kohese tulu teenimiseks. Kuid Microsofti läbiviidud tehniline analüüs paljastas pinna all peituvad palju tumedamad võimekused.

Sisu kättesaamine näitas, et ründajal oli koodi kaugkäivitamise (RCE) võimekus. Nad said saata suvalist JavaScripti serverist mis tahes nakatunud brauserisse. See võimaldas neil sisselogimisprotsessi ajal varastada Google'i sisselogimisandmeid ja teise etapi koode. Nad sihtisid ka WordPressi administraatori sisselogimisi ja viisid massiliselt välja küpsiseid (cookies). Arhitektuurilisest vaatenurgast on sessiooniküpsised mürgine vara, kui need satuvad valedesse kätesse. Ründaja, kellel on värske sessiooniküpsis, saab MFA-st täielikult mööda minna ja siseneda otse kasutaja kontole.

Kampaania telemeetriat hallati seitsme Google Analyticsi jälgimis-ID kaudu. See andis operaatorile reaalajas ülevaate nende edusammudest, kasutades Google'i enda analüütikataristut. Nad nägid, millised laiendused toimisid hästi, millistes riikides oli kõige rohkem aktiivseid installe ja kus nende sisu edukalt käivitus. Siinne operatiivluure tase on professionaalne ja viitab lihvitud ärimudelile.

Hiina seos ja DarkSpectre

Microsoft ei ole ametlikult nimetanud StegoAd-i taga olevat osapoolt, kuid tehnilised indikaatorid viitavad teadaolevale tegevusklastrile. Sisselogimisandmete varguse sisu viib andmed välja domeenile nimega mitarchive.info. Turvauurijad on varem seostanud seda domeeni Hiina operatsiooniga, mida tuntakse nime all DarkSpectre. See rühm on seotud ka ShadyPanda ja GhostPosteri kampaaniatega, mis kasutasid pahatahtlike laienduste levitamiseks sarnaseid taktikaid.

Kattuvus on suurem kui vaid üks domeen. StegoAd kasutas täpselt sama meetodit koodi peitmiseks laienduse enda ikooni sisse, mida GhostPoster kasutas kuid varem. Nad jagasid isegi samu nimekonventsioone oma laienduste jaoks, näiteks Ads Block Ultimate. See viitab sellele, et StegoAd on pikaajalise Hiina operatsiooni uusim evolutsioon, mis käsitleb brauserilaienduste ökosüsteemi peamise tegevusväljana. Operaatorid on väledad, liikudes ühelt platvormilt teisele, kui kaitsjad neile järele jõuavad.

Ründepinna hindamine ja tegutsemine

Microsoft on eemaldanud kõik 119 laiendust ja peatanud arendajakontod, kuid oht püsib kasutajate jaoks, kellel on need tööriistad endiselt installitud. Kuna mõned neist laiendustest olid väga funktsionaalsed, ei pruugi kasutajad isegi aru saada, et nad on ohus. Kui kasutate Edge'i, on teie esimene samm külastada aadressi edge://extensions ja kontrollida oma nimekirja. Võrrelge oma installitud ID-sid Microsofti tehnilises aruandes toodud loendiga.

Mittevastavuse korral on brauserikeskkond ohtu seatud. Laienduse eemaldamine on vaid esimene samm. Peate eeldama, et teie sessiooniküpsised ja sisselogimisandmed on DarkSpectre rühma käes. Muutke oma paroolid olulistel kontodel, sealhulgas Google'is, pangas ja mis tahes tööga seotud portaalides nagu WordPress. Vaadake üle oma viimased sisselogimistegevused tundmatute asukohtade või seadmete osas.

Vaadates ohumaastikku, tõstab see vahejuhtum esile traditsioonilise laienduste kontrolli ebaõnnestumise. Staatilisest analüüsist ei piisa enam ründajate tabamiseks, kes kasutavad steganograafiat ja serveripoolset valideerimist. Proaktiivselt on parim kaitse "säästlik" brauser. Installige ainult need laiendused, mis on hädavajalikud ja pärinevad kontrollitud, mainekatelt arendajatelt. Kasutage riistvaralisi turvavõtmeid MFA jaoks igal võimalusel. Erinevalt SMS-koodidest või tõukemärguannetest nõuab riistvaraline võti füüsilist suhtlust, mida laiendusepõhine skript ei saa kergesti kopeerida.

Peamised järeldused brauseri turvalisuse tagamiseks

• Kontrollige oma laiendusi: Vaadake regulaarselt üle edge://extensions või chrome://extensions ja eemaldage kõik, mida te ei kasuta.
• Jälgige viivitusi: Olge kahtlustav laienduste suhtes, mis muudavad ootamatult käitumist või küsivad uusi õigusi päevi pärast installimist.
• Kontrollige arendajat: Pahatahtlikud osapooled kasutavad sageli üldnimesid või imiteerivad populaarseid tööriistu. Kontrollige arendaja ajalugu ja veebisaiti.
• Kasutage riistvaralist MFA-d: Füüsilised turvavõtmed on kõige vastupidavam kaitse StegoAd-i puhul nähtud sisselogimisandmete ja sessioonide varguse vastu.
• Jälgige sisselogimisi: Kontrollige oma põhikontode turvakohtlaudu sessioonide osas, mida ei tohiks olemas olla.

Allikad: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Hoiatus: See artikkel on mõeldud ainult informatiivsel ja hariduslikul eesmärgil ning ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.