惡意瀏覽器擴充插件在很多機構的資安團隊內依然是明顯的盲點,但它們已經成為網絡犯罪份子的常用工具,盜竊對話和帳號、間諜活動和掩蓋其他犯罪活動等等,資安團隊必需有系統地解決這問題,結合策略管理和專門的分析服務或工具。
Web擴充和Manifest V3創新的威脅
瀏覽器的web擴充能廣範存取網頁資料,它可以讀取和修改任何用戶透過網絡應用程式存取的資料,包括金融或醫療記錄,擴充插件能經常存取用戶通常不會看的重要資料,例如cookie、本機儲存和代理伺服器,藉此大大簡化入侵活動,有時候擴充插件的功能遠超網頁,它們能存取用戶位置、瀏覽器下載、桌面螢幕截圖、切貼板內容和瀏覽器通知。在之前佔主導地位的擴充架構中,Manifest V2擴充插件(可用於Chrome、Edge 、Opera、Vivaldi、Fhdr Safari)在功能上,功能完整度與應用程式幾乎沒分別,可以持續在背景執行腳本,保持打開隱形網頁,從外部網站讀取和執行腳本,以及與任意網站通訊接收或發送資料。
為了遏制潛在的濫用,以及限制廣告攔截器,Google把Chromium和Chrome瀏覽器升級到Manifest V3,這更新限制或封鎖了很多擴充插件功能,現在擴充插件需要聲明所有聯絡的網站,禁止執行動態載入的第三方程式碼,以及必需使用生命週期短的微服務而不是長久的背景腳本。部份攻擊因為新架構而變得困難,攻擊者可以犧牲隱藏性的情況下輕鬆改寫惡意程式碼,並保留大部份必需功能,所以只依賴機構內在Manifest V3下運行的瀏覽器和擴充插件以簡化監控並非完美的方法。
此外,V3沒有解決擴充插件的核心問題,通常從官方應用程式商店下載,使用合法的Google、Microsoft或Mozilla網域,它們的活動由瀏覽器自身發起,令它難以從使用者手動執行操作中區分出擴充插件執行。
惡意擴充插件的誕生
綜合各種公開的事故,惡意擴充插件可能引發幾種情況:
- 原本的開發者出售合法和知名擴充插件,買家把惡意程式碼加入,用作展示廣告、間䜓或其他不法目的。
- 攻擊者入侵開發者的帳號,發放木馬化更新到現存的擴充插件。
- 擴充插件設計原意已存在惡意,可能偽裝有用工具或冒充知名擴充插件的名字和設計。
- 更精密的活動是首先推出正常版本,具備實用功能,然後在數週或月後加入惡意內容。
以上劇本的情況充斥在Chrome Web Store上,有時更有廣告,然而也存在針對性攻擊的劇本,透過釣魚網頁或訊息遊說受害者安裝惡意擴充插件。透過Chrome Web Store集中發佈結合自動更新瀏覽器和擴充插件,導致無需用戶採取動作在不清楚的情況下碰上惡意插件,已安裝的插透通過惡意更新便會自動安裝到電腦內。
機構防範惡意擴充插件
研究人員提出了一些建議:
- 制定關於使用瀏覽器插件的公司政策
- 禁止未被資安和IT部門列入白名單的擴充插件
- 持續審核已安裝的擴充插件和版本
- 擴充插件更新後追蹤權限變化,監控其功能和開發團隊所有權的變化。
- 把瀏覽器擴充插件的風險和使用守則加入員工培訓計劃內
在以上建議之上,我們再補充一些實用見解和具體的考慮。
受限制瀏覽器和擴充插件清單,在公司官方容許的瀏覽器之上,禁止安裝流動版、AI瀏覽器或其他不許可方案同樣重要,實行時確保本機管理員權限限制IT人員和其他需要人士嚴格遵循。作為公司瀏覽器策略的一部份,應該關閉開發者模式並禁止從本機檔案安裝擴充插件。
託管更新,採取版本鎖定機制,防止已核准的擴充插件更新立即被安裝到全公司,IT和資安團隊需要定期測試新版本,在驗證後才鎖定更新版。
多層防禦,強制所有企機裝置安裝EDR代理,防止用戶啟動未經授權瀏覽器、降低訪問惡意釣魚網站風險,以及阻止惡意程式下載,還必需在防火牆層面追蹤DNS請求和瀏覽器網絡流量,以即時偵測與可疑主機的通訊和其他異常情況。
持續監察,使用EDR和SIEM方安收集員工工作站的瀏覽器狀態詳情,包括每個已安裝瀏覽器的擴充插件清單,以及版本和權限分析,達致快速偵測新安裝、版本更新和權限變更。
如何選擇瀏覽器擴充插件
為實施以上措施,公司需要核准和禁止的擴充插件內部資料庫,可惜應用程式商店和瀏覽器都沒有機構規模的風險評估機制,或自動填充該清單,所以資安團隊需要建立流程和清單,員工也需要正式程序提升新增擴充插件到核准清單的請求。最好由相關業務代表參與評估需要和可替代方案,不過風險評估仍然屬於資安團隊的責任,無需手動下載和在不同插件商店交叉引用,可透過不同開源的實用工具、免費網上服務和商業平台進行。
Spin.AI和Koidex(原名ExtensionTotal)可以用來評估整體風險,它們都維持知名擴充插件的資料庫,所以評估通常即時完成,他們使用LLM生成簡報,也提供詳細分析,包括需要的權限、開發者簡介和版本歷史、評分和下載。透過Chrome-Stats可查看擴充插件功能的核心數據,儘管它是為開發者而設,但它會顯示評分、評論和其他商店資料,更重要是容許用戶直接下載當前和幾個舊版本,簡化調查。CRX Viewer則是對可疑或重要任務擴充插件深入分析,測試內部元件方便篩選和顯示內容,並專注於HTML和JavaScript程式碼。
資料來源:Kaspersky Blog
