ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1176

术语表: /attack/glossary

浏览器扩展

浏览器扩展或插件是可以添加功能和自定义 internet 浏览器的小程序。 可以直接安装它们,也可以通过浏览器的应用程序商店安装。 扩展通常具有对浏览器可以访问的所有内容的访问和权限。

恶意扩展可以通过伪装成合法扩展的恶意应用程序商店下载文件、通过社会工程或经由已经成功攻击系统的攻击者安装到浏览器中。 浏览器应用程序商店的安全性可能受到限制,因此恶意扩展绕过自动扫描程序并上传可能并不困难。 扩展安装完成后,它可以在后台浏览网站, 窃取用户输入到浏览器的所有信息,包括凭证 ,并作为 RAT 病毒的安装程序用于持久化。 目前已有僵尸网络通过恶意 Chrome 扩展使用持久性后门的例子。也有类似的扩展用于命令与控制 的例子。

缓解

只从可验证的可信源安装浏览器扩展。 确保所安装的扩展是预期的扩展,因为许多恶意扩展会伪装成合法扩展。 某些浏览器可以通过组策略控制浏览器扩展。 根据您的安全策略,设置浏览器扩展名白名单或黑名单。

更改设置以防止浏览器在没有足够权限的情况下安装扩展。 结束使用后关闭所有浏览器会话。

检测

盘点和监视异常、非预期和非良性的浏览器扩展安装。 进程和网络监视可用于检测与 C2 服务器通信的浏览器。 然而,这对于初始检测恶意扩展可能是困难的,取决于恶意扩展生成的流量的性质和数量。 监视任何写入注册表的新项或写入磁盘的 PE 文件。 这可能与浏览器扩展安装有关。