ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1185

术语表: /attack/glossary

浏览器中间人

攻击者可以利用浏览器软件中的安全漏洞和固有功能来更改内容、修改行为和拦截信息,作为浏览器中间人技术的一部分。

一个具体的例子是,当攻击者将软件注入浏览器时,浏览器允许他们继续使用用户的 cookie、HTTP 会话和 SSL 客户端证书,并将浏览器作为一种转向已验证的内网的方式。

浏览器代理 (Browser pivot) 需要 SeDebugPrivilege 和一个高完整性的进程来执行。 通过设置 HTTP 代理(将重定向任何 HTTP 和 HTTPS 流量),将浏览器流量从攻击者的浏览器转向用户的浏览器。 这不会以任何方式改变用户的流量。 一旦浏览器被关闭,代理连接就会中断。 无论将代理注入哪个浏览器进程,攻击者都承担该进程的安全上下文。 浏览器通常为打开的每个选项卡创建一个新进程,并相应地分离权限和证书。 有了这些权限,攻击者可以浏览任何可以通过浏览器访问的内网资源,以及浏览器具有足够的权限,比如 Sharepoint 或 webmail。 浏览器代理 (Browser Pivot) 还消除了双重因素身份验证提供的安全性。

缓解

由于需要高完整性的进程启动浏览器代理,因此限制用户权限、处理权限升级和绕过用户帐户控制机会可以限制该技术的使用。 在不需要时或定期关闭所有浏览器会话。

检测

该技术难以检测,因为攻击者流量隐藏在普通用户流量中。 没有创建新进程,也没有额外的软件接触磁盘。 身份验证日志可用于审计特定 web 应用程序的登录,但如果活动与典型用户行为匹配,则很难确定恶意登录还是良性登录。 监视针对浏览器应用程序的进程注入