T1176-浏览器扩展

来自ATT&CK的描述

攻击者可能会滥用互联网浏览器扩展来建立对目标组织系统的持久性访问。浏览器扩展或插件是一些小程序，可以增加功能并定制互联网浏览器的各个方面。它们可以直接安装，也可以通过浏览器的应用商店安装，一般来说，它们对浏览器可以访问的一切都有访问权权限。

恶意扩展可以通过伪装成合法的扩展在应用商店下载，通过社会工程，或由已经入侵系统的攻击者安装到浏览器。浏览器应用商店的安全性可能是有限的，因此恶意扩展很容易打败自动扫描器。根据浏览器的情况，攻击者还可能操纵扩展的更新网址，从攻击者控制的服务器上安装更新，或操纵移动配置文件，悄悄地安装额外的扩展。

在 macOS 11 之前，攻击者可以通过命令行静默安装浏览器扩展，使用该profiles工具安装恶意.mobileconfig文件。在 macOS 11+ 中，使用该profiles工具无法再安装配置文件，但.mobileconfig可以通过用户交互来植入和安装文件。

一旦扩展被安装，它可以在后台浏览网站，窃取用户输入浏览器的所有信息（包括证书），并被用作持久性的RAT的安装程序。

也有僵尸网络通过恶意的Chrome扩展程序用来做持久性后门的情况。也有类似的例子，扩展程序被用于指挥和控制。

测试案例

测试1 Chrome开发者模式

• 导航到 chrome://extensions 并勾选“开发者模式”。
• 单击“加载解压的扩展...”并导航到Browser_Extension
• 点击“选择”

测试2 Chrome应用市场

• 在 Chrome 中导航到https://chrome.google.com/webstore/detail/minimum-viable-malicious/odlpfdolehmhciiebahbpnaopneicend
• 点击“添加到 Chrome”

测试3 Firefox

• 导航到 about:debugging 并单击“Load Temporary Add-on”
• 导航到manifest.json
• 然后点击“打开”

Edge Chromium 插件

攻击者可能会使用 VPN 扩展来隐藏从被攻陷主机发送的流量。这将在Edge附加商店中安装一个（许多）可用的VPNS。 - 在 Edge Chromium 中导航到https://microsoftedge.microsoft.com/addons/detail/fjnehcbecaggobjholekjijaaekbnlgj - 点击“获取”

检测日志

无

测试案例

无

测试复现

无

测试留痕

无

检测规则/思路

建议

清点和监控偏离正常、预期和良性扩展的浏览器扩展安装。利用进程和网络监控，可用于检测与C2 服务器通信的浏览器。然而，这是一种检测恶意扩展的比较困难的方法，具体取决于它产生的流量的性质和数量。

监视写入注册表的任何新项目或写入磁盘的PE文件。这可能与浏览器扩展安装有关。

在macOS上，监视命令行以了解配置文件工具的使用情况，例如profiles install -type=configuration. 此外，所有已安装的扩展都plist在/Library/Managed Preferences/username/目录中维护一个文件。确保所有列出的文件都与批准的扩展名一致。

参考推荐

MITRE-ATT&CK-T1176

https://attack.mitre.org/techniques/T1176

Atomic-red-team-T1176

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1176/T1176.md