聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
威胁行动者发现,他们能够滥用谷歌 Chrome 同步功能将命令发送给受感染的浏览器并窃取受感染系统中的数据,绕过传统防火墙和其它网络防御措施。
对于非 Chrome 用户而言,Chrome 同步功能是 Chrome web 浏览器的一个功能,用于存储谷歌云服务器上的用户 Chrome 书签、浏览历史、密码和浏览器及扩展设置的副本。该功能用于同步用户不同设备之间的这些详情,以便无论何时都能够访问最近访问的 Chrome 数据。
01
遭在野滥用
克罗地亚的一名安全研究员 Bojan Zdrnja 在本周四指出,在一次事件响应活动中,他发现一个恶意 Chrome 扩展正在滥用 Chrome 同步功能,和一个远程 C&C 服务器通信并从受感染浏览器中提取数据。
Zdrnja 指出,在所调查的事件中,虽然攻击者获得对受害者计算机的访问权限,但由于他们想要盗取的数据位于员工门户中,因此在用户计算机中下载了一个 Chrome 扩展并通过浏览器的开发者模式加载。
该扩展伪装成安全公司 Forcepoint 的安全组件,其中包含的恶意代码滥用 Chrome 同步功能,使攻击者能够控制受感染浏览器。
Zdrnja 表示,攻击者的目标是使用该扩展“操控受害者可访问的内部 Web 应用中的数据。虽然他们也想要扩展访问权限,但实际上将该工作站上的活动限制到和 Web 应用相关的工作站,这就解释了他们为何只是释放了恶意 Chrome 扩展而非其它二进制。”
该扩展中出现的恶意代码表明,攻击者正在使用恶意组件创建基于文本的字段以存储令牌密钥,之后这些密钥被同步到谷歌云服务器中。他指出,“为设置、读取或删除这些密钥,攻击者所需做的就是通过相同账户在另外一个 Chrome 浏览器中登录到谷歌(该账户可以是废弃账户),通过滥用谷歌的基础设施在受害者网络中和 Chrome 浏览器通信。”
Zdrnja 表示,存储在密钥字段中的数据可以是任意信息。它可以是恶意扩展收集到的浏览器数据(如用户名、密码、密钥等)或者是攻击者想要该扩展在受感染工作站上执行的命令。
如此,该扩展可被攻击者用作企业网络内部的一个提取通道,通往攻击者的 Chrome 浏览器实例,或者作为绕过本地安全防御措施,远程控制受感染浏览器的方式。
02
隐藏在Chrome合法流量中的恶意操作
由于被盗内容或后续命令是通过Chrome的基础设施发送的,因此在都搜狐企业网络中,这些操作均无法检测到或拦截。在多数企业网络中,Chrome 浏览器通常可畅通无阻地操作并传输数据。
Zdrnja 警告称,“如今,如果考虑拦截对 client4.google.com 的访问权限就要担心了:它是 Chrome 的一个重要网站,同时用于检查 Chrome 是否联网等。”
研究员督促企业使用 Chrome 的企业功能和组策略支持,拦截并控制可安装于浏览器中的扩展,以免安装恶意扩展。
推荐阅读
奇安信代码安全实验室帮助谷歌修复 Chrome 沙箱外高危漏洞,获官方致谢
原文链接
https://www.zdnet.com/article/google-chrome-syncing-features-can-be-abused-for-c-c-and-data-exfiltration/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
4253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
