Серджиу Гатлан
- 5 февраля 2021 г.
- 15:14
Злоумышленники могут злоупотреблять функцией Google Chrome Sync для сбора информации с взломанных компьютеров с помощью вредоносных расширений браузера Chrome.
Инфраструктура Google также может быть использована в качестве коммуникационного канала управления и контроля (C2) для передачи украденных данных на серверы, контролируемые злоумышленниками, как обнаружил консультант по безопасности Боян Здрня.
Chrome Sync. это функция браузера, предназначенная для автоматической синхронизации закладок, истории, паролей и других настроек пользователя после входа в систему со своей учетной записью Google.
Обход проверок безопасности Интернет-магазина Chrome
Хотя вредоносных расширений Chrome пруд пруди, и Google каждый год удаляет сотни из них из Интернет-магазина Chrome, это было особенным из-за способа его развертывания.
Вредоносный аддон злоумышленника был замаскирован под расширение Forcepoint Endpoint Chrome для Windows и установлен непосредственно из Chrome (в обход канала установки Chrome Web Store) после включения режима разработчика.
После установки расширение сбросило фоновый скрипт, предназначенный для проверки ключей oauth_token в хранилище Chrome, который затем будет автоматически синхронизироваться с облачным хранилищем Google пользователя.
Чтобы получить доступ к синхронизированным конфиденциальным данным, злоумышленник должен будет только войти в ту же учетную запись Google в другой системе, в которой запущен браузер Chrome, поскольку сторонним браузерам на основе Chromium не разрешено использовать частный API синхронизации Google Chrome.
Тогда это позволит им «общаться с браузером Chrome в сети жертвы, злоупотребляя инфраструктурой Google». сообщил Здрня.
«Хотя есть некоторые ограничения на размер данных и количество запросов, это на самом деле идеально подходит для команд CC (которые обычно небольшие) или для кражи небольших, но конфиденциальных данных, таких как токены аутентификации».
Ключи от королевства
Злоумышленник сосредоточил атаку на манипулировании данными веб-приложения с данными и не пытался распространить свою вредоносную активность на базовую систему. Причина такого поведения, по словам Здрня, довольно проста.
«Хотя они также хотели расширить свой доступ, они фактически ограничили действия на этой рабочей станции теми, что связаны с веб-приложениями, что объясняет, почему они отказались только от вредоносного расширения Chrome, а не каких-либо других двоичных файлов». пояснил Здрня.
«Это, как говорится, также имеет смысл. сегодня почти все управляется через веб-приложение, будь то ваша внутренняя CRM, система управления документами, система управления правами доступа или что-то еще [.]».
Чтобы заблокировать вредоносное расширение от утечки данных, потребуется также заблокировать серверы, используемые Google для различных законных целей (например, clients4.google.com), поэтому это неправильный способ защиты от подобных атак.
«Теперь, если вы думаете о блокировке доступа к client4.google.com, будьте осторожны. это очень важный веб-сайт для Chrome, который также используется для проверки того, подключен ли Chrome к Интернету (среди прочего)». сказал Здрня.
Чтобы заблокировать злоумышленников, злоупотребляющих Google Chrome Sync API для сбора и удаления данных из корпоративных сред, Zdrnja рекомендует групповые политики для создания списка одобренных расширений Chrome и блокирования всех остальных, которые не были проверены на наличие красных флажков.
Источник