G.O.S.S.I.P 阅读推荐 2024-02-02 来自浏览器的勒索警告！

今天是仅次于2022年2月2日的很二的一天，我们当然要讨论一些防止大家“犯二”的研究，于是就有了这篇要介绍的USENIX Security 2023论文RøB: Ransomware over Modern Web Browsers（顺便问一下，你知道这个奇怪的字母ø来自哪种语言吗？）

传统的勒索软件（Ransomware）大部分都是通过系统级的API来访问（并加密）用户的本地文件，这样做当然简单高效，但是现在程序员越来越倾向于跨平台开发，我们的恶意软件作者也不甘落后，积极学习努力进步，于是就有了今天要讨论的主角——RøB，一种新型的基于File System Access API（FSA API）的文件勒索方法。

首先看看什么是FSA API，因为本文作者中包含了来自Google的人员，所以这里先给大家看一个GoogleChromeLabs的概念演示：

https://googlechromelabs.github.io/text-editor/

FSA API就是给web应用访问本地存储提供便利的一组新接口，它允许web代码访问客户端的文件系统，当然就会引发一些关于可能产生安全威胁（最典型的就是本地文件被删除、篡改甚至加密勒索）的担忧，实际上W3C draft里面也提到了这个风险（轻描淡写提了一句）：

https://wicg.github.io/file-system-access/#security-ransomware

很显然，大家知道这个安全风险，却没有深入关注里面的细节，因此相关的防护方案大概率是百密一疏（说不定是一密百疏），本文作者全面研究了当前各大平台（三个不同的操作系统）上FSA API相关的防护方案的实现，调查了针对29个重要的文件夹的保护，并且检查了5家云存储服务提供商和5家反病毒厂商针对FSA API的相关管理措施，最后结论是什么呢？请继续往下看。

先说一下这个攻击，其实RøB并没有假定攻击者会利用什么zero click的高级漏洞：默认攻击方式就是用钓鱼网页欺骗用户，只要用户允许了相关FSA API操作，攻击就执行了。后面我们会看到，由于当前主流浏览器（更不要说那些内置的WebView）的UI设计的不合理，用户（特别是那些不熟悉计算机，不知道“文件”什么是概念的2000后😜）在被欺骗时往往就直接放行操作了。这时候，系统本来应该把好最后一道关卡，但实际情况却很不乐观。

作者对Windows 10 Pro、Ubuntu 20.04和macOS Big Sur 11.0.1进行了测试，关注了浏览器是否能够用FSA API去访问和修改各类目录。结果表明，尽管FSA API无法直接访问和修改一些关键目录（例如系统分区的根目录、系统目录、用户的文档和下载目录）中的文件，但对于这些目录的子目录却拥有了访问权限，而且默认存放图片、视频和音乐的目录，FSA API都可以操作其中的文件，勒索软件完全可以去加密（或者盗取）用户的照片和视频。此外，对于除了系统分区之外的其他分区上的文件，FSA API几乎都是可以访问的（除了Windows系统限制访问其他分区的根目录）。下面的表格总结了相关的访问情况（FDA表示完全访问，SDA表示可访问子目录）：

除了对本地文件的攻击，作者还注意到另一个事实：现在很多用户（特别是Apple用户）很喜欢用云存储服务来同步本地数据，而如果本地文件被篡改了，还开启了云存储同步，那么远端的数据也会被修改。更危险的是，Apple家的iCloud是没有版本控制的，一旦本地的文件被修改了，远端的数据就跟着被更新，然后就一起毁灭了。。。相比起来，Google和微软作为传统的IT宅男服务公司，胸中还是太多的技术考虑，都提供了版本回滚功能（下表）。

作者顺便测试了五家杀毒软件厂商——Malware Bytes、AVG Antivirus、Kaspersky、Trend Micro和Avast——的产品，发现杀毒软件在遇到RøB攻击的时候完全没有任何反应，都以为这个是浏览器正常的操作。于是论文在第6章就讨论了很多关于如何利用机器学习等方法来检测相关的恶意文件操作。

不过，比起检测，作者批判地指出，当前这帮浏览器的UI设计应该背锅：在处理FSA API操作的时候，既没有警告用户，又没有把具体受到影响的文件都提示出来，因此作者也给出了针对UI设计方面的建议（如下图）。

---

论文：https://www.usenix.org/conference/usenixsecurity23/presentation/oz
slides：https://www.usenix.org/system/files/sec23_slides_oz.pdf
代码：https://github.com/cslfiu/RoB_Ransomware_over_Modern_Web_Browsers

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2024-02-02 来自浏览器的勒索警告！