攻击技术研判 | 绕过Chrome安全首选项无交互安装恶意扩展

情报背景

攻击者在成功入侵到目标系统后，通过修改配置文件的方式部署恶意Chrome扩展，利用扩展监听特定的标签ID以及接收的响应内容，在受害者浏览网页时检查并窃取受害者网络邮件帐户中的数据。

struct header {
    uint32_t version;
    uint8_t encoding;    // 0 = BINARY, 1 = UTF8, 2 = UTF16
    uint8_t padding[3];
    uint16_t resource_count;
    uint16_t alias_count;
};

随后是一系列资源结构体：

struct resource {
    uint16_t resource_id;
    uint32_t file_offset;
};

第一个长度为64Bytes的资源即为HMAC种子的值。种子信息被明文记录在资源文件中，能够被攻击者轻易获得。

在启动时，Chrome会读取Preferences配置文件中所有的哈希值进行校验，如果与Secure Preferences中的对应值不匹配则会被要求恢复：

HMAC的计算依赖于以下信息：

1.记录在浏览器安装目录下resources.pak文件中的HMAC种子(hmac_seed)

2.计算机SID(machine_id)

3.原始Secure Preferences和Preferences配置文件(json_path)

以上信息都可以通过Windows API和从Chrome配置文件读取获得，这意味着构造Preferences配置配置文件以通过验证成为可能。本次事件中，攻击者通过重新构造Secure Preferences和Preferences文件，在文件中加入恶意扩展信息，并重新计算HMAC，生成合法的配置文件通过校验，达到绕过Chrome安全首选项安装扩展的目的。

攻击者将扩展文件放置于恶意配置文件指定的路径下，扩展的功能将在浏览器启动时被自动加载执行。通过修改配置文件的方式安装浏览器扩展，整个安装过程无需用户交互即可实现，受害者难以察觉。攻击者利用恶意扩展监听特定的标签ID以及接收的响应，在受害者已登录会话的上下文中窃取电子邮箱账户数据、邮件、附件等信息。

除了无感安装以外，本次事件中的恶意扩展文件在C2控制上也有其得天独厚的优势。扩展的主要功能由JS实现，恶意功能可以由扩展在执行时从C2服务器上拉取执行，这一方面使得攻击者可以很方便地更新代码；另一方面减少了扩展程序中的特征，减少了暴露面，使之更加难以被发现。

Chrome虽然是一个闭源浏览器，但其主要功能都基于开源的chromium浏览器引擎，很多基础性的代码都来源于chromium，这为攻击者寻找与利用其中缺陷与安全弱点提供了可乘之机。

今年以来，恶意浏览器扩展屡见不鲜，一些恶意插件摇身变为上架浏览器扩展商店的实用扩展，达成窃取数据的目的。但等待受害者愿者上钩仍然较为被动，本次事件中攻击者采取更主动的攻击策略，通过修改配置文件绕过了Chrome的安全配置检查实现无交互安装扩展。这种攻击流程使得感染过程更加隐蔽，适应更灵活的实战思路。

攻击技术研判 | 利用Excel默认密码实现静态免杀静态并减少钓鱼步骤

攻击技术研判 | 近期频发钓鱼新手法：伪造弹出登录窗口进行钓鱼攻击

攻击技术研判 | 改进的反虚拟机反调试技术

8月活跃粉丝回馈

M01N Team公众号将根据

8月内所有推文留言的频率和质量

评选一名活跃粉丝

寄出小编精心准备的礼品一份

快来和M01N Team贴贴吧