瀏覽器擴充功能成資安破口?駭客如何靜悄悄植入惡意程式
記者孫敬/編譯
許多人可能不知道,包括Chrome、Edge和Brave在內的Chromium瀏覽器,擴充功能的設定檔都儲存在一個名為 %AppData%\Google\User Data\Default\Preferences 或 Secure Preferences 的JSON檔案中。資安公司Synacktiv的研究發現,駭客可以透過直接修改這些檔案,在使用者毫無察覺的情況下,強制瀏覽器載入任何擴充功能,甚至完全繞過官方的Chrome線上應用程式商店。
延伸閱讀:全新釣魚郵件手法?駭客假冒GitHub官方通知竊取開發者帳密
駭客行動前需要完成的三個步驟
這種攻擊手法之所以能夠成功,主要有三個技術上的關鍵:
- 預先計算擴充功能ID:駭客必須準確計算出擴充功能的ID。這個ID是由擴充功能的公鑰或安裝路徑,經過SHA-256雜湊演算法計算,再轉換成特定的字母組合。
- 生成有效的訊息認證(MAC):為了繞過瀏覽器的完整性檢查,駭客需要為擴充功能和開發者模式標誌生成有效的MAC。這需要駭客逆向工程瀏覽器內部的HMAC演算法,並使用正確的靜態密鑰來簽名。
- 繞過企業資安政策:企業環境通常會透過群組原則物件(GPO)來設定白名單或黑名單,控制哪些擴充功能可以被安裝。
三大進階手法,突破企業防線
駭客並不會輕易被企業的資安政策阻擋。Synacktiv的研究進一步揭示了三種高階的規避方法,讓他們能夠成功突破防線:
- 盜用合法擴充功能的ID:駭客可以重複使用企業已批准的擴充功能(例如Adobe Acrobat Reader)的RSA公鑰,來生成一個相同的擴充功能ID。接著,他們將一個惡意的未封裝擴充功能(unpacked extension)注入到這個ID下,藉此繞過依賴雜湊值來檢測的白名單。
- 利用「ID碰撞」悄悄替換:當一個未封裝的擴充功能與一個從商店安裝的擴充功能擁有相同的ID時,Chromium瀏覽器會優先載入這個未封裝的版本。這種「ID碰撞」的特性,使得駭客能夠神不知鬼不覺地用惡意程式覆蓋掉受信任的擴充功能。
- 修改登錄檔移除政策:即使企業部署了政策,駭客也可以透過刪除或修改Windows登錄檔中的相關項目,直接移除瀏覽器擴充功能的白名單或黑名單,從而完全繞過政策限制。
如何防禦幽靈擴充功能的威脅?
一旦這些惡意擴充功能被成功植入,駭客就能進行各種惡意行為,例如:攔截網路流量、竊取使用者連線紀錄、執行背景服務,甚至是將惡意程式碼注入到目標網頁中。Synacktiv的概念驗證工具也證實了,駭客能夠透過遠端部署與客製化的C2伺服器,在瀏覽器中執行JavaScript,進而繞過各種加密保護。
為了有效防禦這種新型攻擊,企業與個人用戶必須提高警覺,採取以下防護措施:
- 監控核心檔案:監控瀏覽器設定檔是否有未經授權的變更。
- 驗證登錄檔完整性:定期檢查Windows登錄檔,確保企業政策沒有被惡意篡改。
- 偵測異常擴充功能註冊:建立偵測機制,即時發現異常的擴充功能安裝行為。
若缺乏這些偵測與防禦機制,這種被稱為「幽靈擴充功能」(Phantom Extensions)的攻擊手法,將成為駭客在企業內部進行資料竊取與橫向移動的絕佳途徑。
資料來源:Cyber Security News
