Kā 119 ļaunprātīgi paplašinājumi pārvērta Edge papildinājumu veikalu par uzbrukuma bāzi

Standarta pārlūkprogrammas paplašinājums ir maza uzticības pakotne. Lietotāji instalē reklāmu bloķētājus un VPN ar cerību, ka šie rīki strādās viņu labā, nevis pret viņiem. Microsoft nesen likvidēja vērienīgu operāciju, kas apgrieza šīs attiecības otrādi. Kampaņa ar nosaukumu StegoAd ietvēra 119 ļaunprātīgus paplašinājumus Microsoft Edge papildinājumu veikalā. Šie paplašinājumi darbojās gadiem ilgi, sasniedzot kopējo instalāciju bāzi 2,6 miljonu lietotāju apmērā. Operācija ir izcilības paraugstunda izvairīšanās taktikā, izmantojot steganogrāfiju, lai paslēptu ļaunprātīgu lietderīgo slodzi tajos pašos failos, kas nodrošina tīmekļa pareizu izskatu un darbību.

No riska perspektīvas ietekmes mērogs ir ievērojams. Lai gan Microsoft norāda, ka 2,6 miljoni ir augšējā robeža, nevis apstiprināts upuru skaits, StegoAd arhitektoniskā sarežģītība liecina par profesionālu plānošanas līmeni. Paplašinājumi darīja tieši to, ko solīja. Tie bloķēja reklāmas, tulkoja tekstu un lejupielādēja videoklipus. Tie saņēma pozitīvas atsauksmes. Tomēr aizkulisēs tie gaidīja specifisku nosacījumu kopumu, lai aktivizētu sekundāru, ļaunprātīgu dzīves ciklu. Šis bija pacietīgs uzbrukums, kas izstrādāts, lai apietu automatizētos skenerus, kuri sargā mūsdienu pārlūkprogrammu ekosistēmas.

Lēnas inficēšanas arhitektūra

Izsekojot uzbrukuma ķēdi atpakaļ, atklājas metodiska pieeja dīkstāvei. StegoAd izpildītājs saprata, ka tūlītēja ļaunprātīga darbība pārlūkprogrammas paplašinājumam nozīmē nāves spriedumu. Lielākā daļa no 119 paplašinājumiem palika nekaitīgi vairākas dienas pēc instalēšanas. Šī aizkave ir izplatīta taktika, taču izpildītājs gāja tālāk. Viņi ieviesa virkni izvairīšanās pārbaužu, lai nodrošinātu, ka paplašinājums "atmostas" tikai uz reāla lietotāja mašīnas.

Viena pārbaude meklēja pārlūkprogrammas izstrādātāja rīku (DevTools) klātbūtni. Ja analītiķis atvēra inspektoru, lai redzētu, ko paplašinājums dara, kods pamanīja izmaiņas un pagarināja savu dīkstāves periodu. Tas efektīvi slēpa uzvedību no jebkura, kas to meklēja. Proaktīvi runājot, izpildītājs izmantoja arī 10% izpildes barjeru noteiktiem variantiem. Tas nozīmē, ka tikai viena no desmit instalācijām faktiski aktivizēja ļaunprātīgo kodu. Drošības pētniekam, mēģinot reproducēt ziņoto kļūdu, ļaunprogrammatūra vienkārši neparādītos.

Šī selektīvā izpilde pārvērta lietotāju bāzi par masīvu, decentralizētu izmēģinājumu poligonu. Izpildītājs varēja pilnveidot savus skriptus un datu eksfiltrācijas metodes nelielai lietotāju daļai, kamēr pārējie 90% nodrošināja leģitīmas darbības vairogu un augstus vērtējumus. Paplašinājumi pat migrēja no Manifest V2 uz Manifest V3, attīstoties Chromium platformai. Tas liecina par ilgtermiņa apņemšanos saglabāt piekļuvi Edge lietotāju bāzei.

Kā steganogrāfija pārvērta ikonas par ieročiem

Kampaņas pamatā ir steganogrāfija — prakse slēpt datus citos datos. Izpildītājs izmantoja attēlus un fontu failus kā savu JavaScript lietderīgo slodžu nesējus. Agrākajās StegoAd versijās ļaunprogrammatūra tika pievienota pēc PNG ikonas IEND marķiera. Šis marķieris attēlu skatītājam norāda, ka fails ir beidzies. Jebko pēc šī marķiera renderētājs ignorē, taču skriptam tas paliek pieejams. Statiskajam skenerim fails izskatās kā derīga, nekaitīga ikona.

Uzlabojoties noteikšanas rīkiem, draudu izpildītājs pielāgojās. Viņi pārvietoja savas lietderīgās slodzes uz WebP attēliem un WOFF2 fontu failiem. WOFF2 faili ir saspiesti tīmekļa fonti, kas satur glifu diapazonus un metadatus. Izpildītājs paslēpa kodu šajos diapazonos, liekot lietderīgajai slodzei izskatīties pēc Āzijas teksta vai fontu metrikiem. Microsoft raksturo steganogrāfiju šādā mērogā kā retu parādību pārlūkprogrammu paplašinājumu jomā. Tā ir augstas intensitātes tehnika, kas prasa uzbrucējam manuāli izveidot vai modificēt multivides failus, lai nodrošinātu to darbību, vienlaikus pārnēsājot šifrētu "pasažieri".

Dažos augstas ietekmes variantos lietderīgā slodze pat neatradās lokālajos paplašinājuma failos. Paplašinājums lejupielādēja parasta izskata attēlu no vadības un kontroles servera. Pēc lejupielādes paplašinājums atkodēja attēlu, izmantojot vairākus burtu reģistra maiņas, ciparu maiņas, Base64 kodēšanas un XOR operāciju slāņus. Pēc tam pirms izpildes tas pārbaudīja iegūto skriptu pret digitālo parakstu. Šis process nodrošina, ka ļaunprātīgā loģika nekad netiek glabāta diskā lasāmā formātā.

Vadības un kontroles infrastruktūras aizsardzība

StegoAd aizmugursistēmas infrastruktūra bija tikpat izturīga kā priekšgalsistēmas paplašinājumi. Izpildītājs izmantoja vairāk nekā desmit vadības un kontroles domēnus ar automātiskām kļūmjpārlēces iespējām. Ja viens domēns tika bloķēts vai slēgts, paplašinājumi automātiski sazinājās ar rezerves kopu. Lai vēl vairāk slēptu savu trafiku, operatori savus pieprasījumus virzīja caur Cloudflare Workers. Tas lika ļaunprātīgajam trafikam izskatīties pēc leģitīmiem API izsaukumiem cienījamam mākoņpakalpojumu sniedzējam.

Servera puses validācija darbojās kā VIP kluba apsargs pie katrām durvīm. Kad paplašinājums pieprasīja lietderīgo slodzi, serveris pārbaudīja pārlūkprogrammas pirkstu nospiedumu un User-Agent virkni. Ja pieprasījums nāca no zināmas pētniecības vides vai automatizētas "smilškastes", serveris atgrieza tukšu mānekļa atbildi. Esmu redzējis šādu paranojas līmeni progresīvu pastāvīgo draudu (APT) izpildītājiem, taču tas ir retāk sastopams reklāmprogrammatūru kampaņās. Tas liecina, ka operators bija ļoti motivēts aizsargāt savu rīku komplektu no atklāšanas.

GitHub Pages bija vēl viens rīks izpildītāja komplektā. Viņi izmantoja platformu, lai mitinātu bākas (beacons), nodrošinot uzticamu un drošu domēnu, kurā paplašinājumi varēja pārbaudīt atjauninājumus. Ļaunprātīgi izmantojot leģitīmu infrastruktūru, StegoAd operatori nodrošināja, ka viņu trafiks saplūst ar tipiska uzņēmuma vai mājas tīkla fona troksni. Šāda trafika noteikšanai ir nepieciešams vairāk nekā tikai slikto IP saraksts; ir nepieciešama uzvedības analīze par to, kā paplašinājums mijiedarbojas ar tīmekli.

Reklāmu krāpniecība kā dūmu aizsegs datu eksfiltrācijai

Redzamākā StegoAd infekcijas daļa bija reklāmu krāpniecība. Paplašinājumi ievietoja reklāmas tīmekļa lapās, pārņēma filiāļu komisijas maksas tādās vietnēs kā Amazon un eBay, kā arī pāradresēja meklēšanas vaicājumus. Šī ir skaļā ļaunprogrammatūras daļa, kas paredzēta tūlītēju ieņēmumu gūšanai. Tomēr Microsoft veiktā tehniskā analīze atklāja daudz tumšāku spēju kopumu, kas slēpjas zem virsmas.

Iegūstot lietderīgās slodzes, atklājās, ka izpildītājam bija attālinātas koda izpildes iespējas. Viņi varēja nosūtīt patvaļīgu JavaScript no servera uz jebkuru inficētu pārlūkprogrammu. Tas ļāva viņiem ievākt Google akreditācijas datus un otrā faktora kodus pieteikšanās procesa laikā. Viņi mērķēja arī uz WordPress administratoru pieteikšanās datiem un masveidā eksfiltrēja sīkfailus. No arhitektūras viedokļa sesijas sīkfaili ir toksisks aktīvs, ja tie nonāk nepareizās rokās. Uzbrucējs ar svaigu sesijas sīkfailu var pilnībā apiet MFA un tieši iekļūt lietotāja kontā.

Kampaņas telemetrija tika pārvaldīta, izmantojot septiņus Google Analytics izsekošanas ID. Tas sniedza operatoram reāllaika informācijas paneli par viņu progresu, izmantojot paša Google analītikas infrastruktūru. Viņi varēja redzēt, kuri paplašinājumi darbojas labi, kurās valstīs ir visaktīvākās instalācijas un kur viņu lietderīgās slodzes tika veiksmīgi palaistas. Operatīvās izlūkošanas līmenis šeit ir profesionāls un norāda uz racionalizētu biznesa modeli.

Ķīnas saikne un DarkSpectre

Microsoft nav oficiāli nosaukusi StegoAd izpildītāju, taču tehniskie rādītāji norāda uz zināmu aktivitāšu kopu. Akreditācijas datu zādzības lietderīgā slodze eksfiltrē datus uz domēnu mitarchive.info. Drošības pētnieki iepriekš ir saistījuši šo domēnu ar Ķīnas operāciju, kas pazīstama kā DarkSpectre. Šī grupa ir saistīta arī ar ShadyPanda un GhostPoster kampaņām, kurās tika izmantota līdzīga taktika ļaunprātīgu paplašinājumu izplatīšanai.

Pārklāšanās ir kas vairāk nekā tikai viens domēns. StegoAd izmantoja tieši to pašu metodi koda slēpšanai paplašinājuma ikonā, ko GhostPoster izmantoja mēnešus iepriekš. Viņi pat kopīgoja tos pašus paplašinājumu nosaukumu piešķiršanas principus, piemēram, Ads Block Ultimate. Tas liecina, ka StegoAd ir jaunākā evolūcija ilgstošai Ķīnas operācijai, kas pārlūkprogrammu paplašinājumu ekosistēmu uzskata par galveno darbības lauku. Operatori ir veikli, pārejot no vienas platformas uz otru, tiklīdz aizstāvji tos panāk.

Uzbrukuma virsmas novērtēšana un rīcība

Microsoft ir noņēmis visus 119 paplašinājumus un apturējis izstrādātāju kontus, taču briesmas joprojām pastāv lietotājiem, kuriem šie rīki joprojām ir instalēti. Tā kā daži no šiem paplašinājumiem bija ļoti funkcionāli, lietotāji var pat neapzināties, ka viņu drošība ir apdraudēta. Ja izmantojat Edge, pirmais solis ir apmeklēt edge://extensions un veikt saraksta auditu. Salīdziniet savu instalēto paplašinājumu ID ar sarakstu, kas sniegts Microsoft tehniskajā ziņojumā.

Atbilstības gadījumā pārlūkprogrammas vide ir apdraudēta. Paplašinājuma noņemšana ir tikai pirmais solis. Jums jāpieņem, ka jūsu sesijas sīkfaili un akreditācijas dati ir DarkSpectre grupas rokās. Nomainiet paroles svarīgākajiem kontiem, tostarp Google, bankai un jebkuriem ar darbu saistītiem portāliem, piemēram, WordPress. Pārskatiet savu pēdējo pieteikšanās aktivitāti, meklējot neatpazītas atrašanās vietas vai ierīces.

Raugoties uz draudu ainavu, šis incidents izgaismo tradicionālās paplašinājumu pārbaudes neveiksmi. Ar statisko analīzi vairs nepietiek, lai noķertu izpildītājus, kuri izmanto steganogrāfiju un servera puses validāciju. Proaktīvi runājot, labākā aizsardzība ir "liesa" pārlūkprogramma. Instalējiet tikai tos paplašinājumus, kas ir absolūti nepieciešami un nāk no pārbaudītiem, cienījamiem izstrādātājiem. Kur vien iespējams, izmantojiet aparatūras drošības atslēgas MFA. Atšķirībā no SMS kodiem vai push paziņojumiem, aparatūras atslēgai ir nepieciešama fiziska mijiedarbība, ko paplašinājumā bāzēts skripts nevar viegli atdarināt.

Galvenās atziņas pārlūkprogrammas drošībai

• Auditējiet savus paplašinājumus: Regulāri pārbaudiet edge://extensions vai chrome://extensions un noņemiet visu, ko neizmantojat.
• Pievērsiet uzmanību aizkavei: Esiet piesardzīgi pret paplašinājumiem, kas pēkšņi maina uzvedību vai pieprasa jaunas atļaujas dažas dienas pēc instalēšanas.
• Pārbaudiet izstrādātāju: Ļaunprātīgi izpildītāji bieži izmanto vispārīgus nosaukumus vai atdarina populārus rīkus. Pārbaudiet izstrādātāja vēsturi un tīmekļa vietni.
• Izmantojiet aparatūras MFA: Fiziskās drošības atslēgas ir visizturīgākā aizsardzība pret tāda veida akreditācijas datu un sesiju zādzībām, kādas redzamas StegoAd.
• Pārraugiet pieteikšanos: Pārbaudiet savu galveno kontu drošības paneļus, meklējot sesijas, kurām nevajadzētu eksistēt.

Avoti: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem mērķiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.