Kaip 119 kenkėjiškų plėtinių pavertė „Edge“ priedų parduotuvę placdarmu atakoms

Standartinis naršyklės plėtinys yra nedidelis pasitikėjimo paketas. Vartotojai diegia reklamos blokatorius ir VPN tikėdamiesi, kad šie įrankiai dirbs jiems, o ne prieš juos. „Microsoft“ neseniai išardė masinę operaciją, kuri apvertė šį santykį aukštyn kojomis. Kampanija, pavadinta „StegoAd“, apėmė 119 kenkėjiškų plėtinių „Microsoft Edge Add-ons“ parduotuvėje. Šie plėtiniai veikė kelerius metus ir pasiekė bendrą 2,6 milijono vartotojų diegimų bazę. Ši operacija yra meistriška vengimo pamoka, naudojant steganografiją kenkėjiškiems duomenims paslėpti tuose pačiuose failuose, kurie užtikrina tinkamą žiniatinklio išvaizdą ir veikimą.

Žvelgiant iš rizikos perspektyvos, poveikio mastas yra reikšmingas. Nors „Microsoft“ pažymi, kad 2,6 milijono yra viršutinė riba, o ne patvirtintas aukų skaičius, „StegoAd“ architektūrinis sudėtingumas rodo profesionalų planavimo lygį. Plėtiniai darė būtent tai, ką žadėjo. Jie blokavo reklamas, vertė tekstą ir atsisiuntė vaizdo įrašus. Jie pelnė teigiamų atsiliepimų. Tačiau užkulisiuose jie laukė specifinių sąlygų rinkinio, kad suaktyvintų antrinį, kenkėjišką gyvavimo ciklą. Tai buvo kantri ataka, sukurta apeiti automatinius skenerius, kurie saugo šiuolaikines naršyklių ekosistemas.

Lėtos infekcijos architektūra

Sekant atakos grandinę atgal, atsiskleidžia metodiškas požiūris į neveiklumą. „StegoAd“ vykdytojas suprato, kad neatidėliotina kenkėjiška veikla naršyklės plėtiniui reiškia mirties nuosprendį. Dauguma iš 119 plėtinių kelias dienas po įdiegimo išliko nepavojingi. Šis delsimas yra įprasta taktika, tačiau vykdytojas nuėjo dar toliau. Jie įdiegė daugybę vengimo patikrų, kad įsitikintų, jog plėtinys „pabunda“ tik tikro vartotojo kompiuteryje.

Viena patikra ieškojo naršyklės „DevTools“ įrankių. Jei analitikas atidarydavo inspektorių, norėdamas pamatyti, ką veikia plėtinys, kodas pastebėdavo pokytį ir pratęsdavo neveiklumo laikotarpį. Tai efektyviai paslėpė elgseną nuo bet ko, kas jos ieškojo. Kalbant proaktyviai, vykdytojas tam tikruose variantuose taip pat naudojo 10 % vykdymo ribą. Tai reiškia, kad tik vienas iš dešimties diegimų iš tikrųjų suaktyvindavo kenkėjišką krovinį. Saugumo tyrėjui, bandančiam atkurti praneštą klaidą, kenkėjiška programa tiesiog nepasirodydavo.

Šis pasirinktinis vykdymas pavertė vartotojų bazę masiniu, decentralizuotu bandymų poligonu. Vykdytojas galėjo tobulinti savo skriptus ir duomenų išgavimo metodus su nedidele vartotojų dalimi, kol kiti 90 % suteikė teisėtos veiklos ir aukštų reitingų skydą. Plėtiniai netgi migravo iš „Manifest V2“ į „Manifest V3“, tobulėjant „Chromium“ platformai. Tai rodo ilgalaikį įsipareigojimą išlaikyti prieigą prie „Edge“ vartotojų bazės.

Kaip steganografija pavertė piktogramas ginklais

Kampanijos pagrindas yra steganografija – duomenų slėpimo kituose duomenyse praktika. Vykdytojas naudojo vaizdus ir šriftų failus kaip savo „JavaScript“ krovinių nešėjus. Ankstyvosiose „StegoAd“ versijose kenkėjiška programa buvo pridedama po PNG piktogramos IEND žymeklio. Šis žymeklis vaizdų peržiūros programai nurodo, kad failas baigėsi. Viskas, kas yra po šio žymeklio, atvaizdavimo programos ignoruojama, tačiau lieka prieinama skriptui. Statiniam skeneriui failas atrodo kaip galiojanti, nekenksminga piktograma.

Tobulėjant aptikimo įrankiams, grėsmės vykdytojas prisitaikė. Jie perkėlė savo krovinius į „WebP“ vaizdus ir „WOFF2“ šriftų failus. „WOFF2“ failai yra suspausti žiniatinklio šriftai, kuriuose yra glifų diapazonai ir metaduomenys. Vykdytojas paslėpė kodą šiuose diapazonuose, todėl krovinys atrodė kaip azijietiškas tekstas arba šrifto metrika. „Microsoft“ apibūdina tokio masto steganografiją kaip retą naršyklių plėtinių srityje. Tai daug pastangų reikalaujanti technika, kuriai užpuolikas turi rankiniu būdu kurti arba modifikuoti medijos failus, kad užtikrintų, jog jie vis dar veiktų, nešdami užšifruotą „keleivį“.

Kai kuriuose didelio poveikio variantuose krovinio net nebuvo vietiniuose plėtinio failuose. Plėtinys atsisiųsdavo normaliai atrodantį vaizdą iš valdymo serverio. Atsisiuntęs plėtinys iškoduodavo vaizdą per kelis sluoksnius: raidžių registrų keitimą, skaitmenų sukeitimą, „Base64“ kodavimą ir XOR operacijas. Tada prieš vykdymą jis patikrindavo gautą skriptą pagal skaitmeninį parašą. Šis procesas užtikrina, kad kenkėjiška logika niekada nebūtų saugoma diske skaitomu formatu.

Valdymo infrastruktūros apsauga

„StegoAd“ galinė infrastruktūra buvo tokia pat atspari kaip ir priekiniai plėtiniai. Vykdytojas naudojo daugiau nei dešimt valdymo domenų su automatinio perjungimo galimybėmis. Jei vienas domenas būdavo užblokuotas arba pašalintas, plėtiniai automatiškai kreipdavosi į atsarginį. Norėdami dar labiau paslėpti savo srautą, operatoriai nukreipdavo užklausas per „Cloudflare Workers“. Dėl to kenkėjiškas srautas atrodė kaip teisėti API iškvietimai patikimam debesijos paslaugų teikėjui.

Serverio pusės patikra veikė kaip VIP klubo apsauginis prie kiekvienų durų. Kai plėtinys paprašydavo krovinio, serveris patikrindavo naršyklės skaitmeninį atspaudą ir „User-Agent“ eilutę. Jei užklausa ateidavo iš žinomos tyrimų aplinkos arba automatinės smėlio dėžės, serveris grąžindavo tuščią apgaulingą atsakymą. Esu matęs tokį paranojos lygį pas pažangias nuolatines grėsmes (APT), tačiau jis rečiau pasitaiko reklaminės programinės įrangos kampanijose. Tai rodo, kad operatorius buvo labai motyvuotas apsaugoti savo įrankių rinkinį nuo atradimo.

„GitHub Pages“ buvo dar vienas įrankis vykdytojo rinkinyje. Jie naudojo platformą švyturiams (beacons) priglobti, suteikdami patikimą domeną plėtiniams tikrinti, ar nėra atnaujinimų. Piktnaudžiaudami teisėta infrastruktūra, „StegoAd“ operatoriai užtikrino, kad jų srautas susilietų su tipiško įmonės ar namų tinklo foniniu triukšmu. Šiam srautui aptikti reikia ne tik blogų IP adresų sąrašo; tam reikia elgsenos analizės, kaip plėtinys sąveikauja su žiniatinkliu.

Sukčiavimas reklamomis kaip dūmų uždanga duomenų vagystei

Matomiausia „StegoAd“ infekcijos dalis buvo sukčiavimas reklamomis. Plėtiniai įterpdavo reklamas į tinklalapius, perimdavo partnerių komisinius tokiose svetainėse kaip „Amazon“ ir „eBay“ bei peradresuodavo paieškos užklausas. Tai yra „triukšmingoji“ kenkėjiškos programos dalis, skirta generuoti greitas pajamas. Tačiau „Microsoft“ atlikta techninė analizė atskleidė daug tamsesnes galimybes, paslėptas po paviršiumi.

Išanalizavus krovinius paaiškėjo, kad vykdytojas turėjo nuotolinio kodo vykdymo galimybes. Jie galėjo nusiųsti bet kokį „JavaScript“ kodą iš serverio į bet kurią užkrėstą naršyklę. Tai leido jiems rinkti „Google“ prisijungimo duomenis ir antrojo faktoriaus kodus prisijungimo proceso metu. Jie taip pat nusitaikė į „WordPress“ administratoriaus prisijungimus ir masiniu būdu vogė slapukus. Žvelgiant iš architektūrinės perspektyvos, sesijos slapukai yra toksiškas turtas, jei jie patenka į blogas rankas. Užpuolikas, turėdamas šviežią sesijos slapuką, gali visiškai apeiti MFA ir tiesiog įeiti į vartotojo paskyrą.

Kampanijos telemetrija buvo valdoma per septynis „Google Analytics“ sekimo ID. Tai suteikė operatoriui realaus laiko prietaisų skydelį apie jų pažangą, naudojant pačios „Google“ analizės infrastruktūrą. Jie galėjo matyti, kurie plėtiniai veikia gerai, kuriose šalyse yra daugiausia aktyvių diegimų ir kur jų kroviniai sėkmingai suveikia. Šis operatyvinės žvalgybos lygis yra profesionalus ir rodo supaprastintą verslo modelį.

Kiniškas ryšys ir „DarkSpectre“

„Microsoft“ oficialiai neįvardijo „StegoAd“ vykdytojo, tačiau techniniai rodikliai rodo į žinomą veiklos grupę. Prisijungimo duomenų vagystės krovinys siunčia duomenis į domeną mitarchive.info. Saugumo tyrėjai anksčiau siejo šį domeną su Kinijos operacija, žinoma kaip „DarkSpectre“. Ši grupė taip pat siejama su „ShadyPanda“ ir „GhostPoster“ kampanijomis, kurios naudojo panašią taktiką kenkėjiškiems plėtiniams platinti.

Sutapimas yra daugiau nei tik vienas domenas. „StegoAd“ naudojo lygiai tą patį kodo slėpimo metodą plėtinio piktogramoje, kurį „GhostPoster“ naudojo prieš kelis mėnesius. Jie netgi dalijosi tomis pačiomis plėtinių pavadinimų suteikimo konvencijomis, pavyzdžiui, „Ads Block Ultimate“. Tai rodo, kad „StegoAd“ yra naujausia ilgalaikės Kinijos operacijos evoliucija, kuri naršyklės plėtinių ekosistemą laiko pagrindiniu operacijų teatru. Operatoriai yra vikrūs, persikeliantys iš vienos platformos į kitą, kai gynėjai juos pasiveja.

Atakos paviršiaus įvertinimas ir veiksmai

„Microsoft“ pašalino visus 119 plėtinių ir sustabdė kūrėjų paskyras, tačiau pavojus išlieka vartotojams, kurie vis dar turi įsidiegę šiuos įrankius. Kadangi kai kurie iš šių plėtinių buvo labai funkcionalūs, vartotojai gali net nesuvokti, kad jų saugumas pažeistas. Jei naudojate „Edge“, pirmas žingsnis yra apsilankyti edge://extensions ir peržiūrėti savo sąrašą. Palyginkite įdiegtų plėtinių ID su sąrašu, pateiktu „Microsoft“ techninėje ataskaitoje.

Radus atitikmenį, naršyklės aplinka laikoma pažeista. Plėtinio pašalinimas yra tik pirmas žingsnis. Turite daryti prielaidą, kad jūsų sesijos slapukai ir prisijungimo duomenys yra „DarkSpectre“ grupės rankose. Pakeiskite svarbių paskyrų slaptažodžius, įskaitant „Google“, banko ir bet kokius su darbu susijusius portalus, pavyzdžiui, „WordPress“. Peržiūrėkite savo pastarojo meto prisijungimo veiklą, ar nėra neatpažintų vietų ar įrenginių.

Žvelgiant į grėsmių kraštovaizdį, šis incidentas pabrėžia tradicinio plėtinių tikrinimo nesėkmę. Statinės analizės nebeužtenka norint pagauti vykdytojus, kurie naudoja steganografiją ir serverio pusės patikrą. Kalbant proaktyviai, geriausia gynyba yra „liesa“ naršyklė. Diekite tik tuos plėtinius, kurie yra absoliučiai būtini ir sukurti patikimų kūrėjų. Kur įmanoma, naudokite techninius saugumo raktus MFA autentifikavimui. Skirtingai nei SMS kodai ar „push“ pranešimai, techninis raktas reikalauja fizinės sąveikos, kurios plėtiniu pagrįstas skriptas negali lengvai atkartoti.

Pagrindinės įžvalgos naršyklės saugumui

• Tikrinkite savo plėtinius: Reguliariai tikrinkite edge://extensions arba chrome://extensions ir pašalinkite viską, ko nenaudojate.
• Stebėkite delsimą: Būkite įtarūs dėl plėtinių, kurie staiga pakeičia elgseną arba paprašo naujų leidimų praėjus kelioms dienoms po įdiegimo.
• Patikrinkite kūrėją: Kenkėjiški vykdytojai dažnai naudoja bendrinius pavadinimus arba imituoja populiarius įrankius. Patikrinkite kūrėjo istoriją ir svetainę.
• Naudokite techninį MFA: Fiziniai saugumo raktai yra atspariausia gynyba nuo prisijungimo duomenų ir sesijų vagysčių, matytų „StegoAd“.
• Stebėkite prisijungimus: Tikrinkite savo pagrindinių paskyrų saugumo skydelius, ar nėra sesijų, kurių neturėtų būti.

Šaltiniai: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams ir edukaciniams tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.