情报背景
近期,Volexity发现了一个在成功入侵目标系统后部署于Google Chrome上的恶意扩展。扩展利用VBS脚本通过修改相应配置文件,绕过Chrome安全首选项机制进行安装而无需用户交互,本文将就其中出现的技术进行分析研判。
组织名称 | SharpTongue |
战术标签 | 持久化 |
技术标签 | 浏览器扩展 |
情报来源 | https://www.volexity.com/blog/2022/07/28/sharptongue-deploys-clever-mail-stealing-browser-extension-sharpext/ |
01 攻击技术分析
攻击者在成功入侵到目标系统后,通过修改配置文件的方式部署恶意Chrome扩展,利用扩展监听特定的标签ID以及接收的响应内容,在受害者浏览网页时检查并窃取受害者网络邮件帐户中的数据。
亮点:修改配置文件无交互安装恶意扩展
在Chrome的安装路径下,存在首选项Preferences和安全首选项Secure Preferences两个配置文件,这两个文件都是Json格式的文件,其中Preferences记录着用户的配置信息,如用户设置、主页、历史记录等;而Secure Preferences记录着Preferences文件中某些节点的HMAC SHA256哈希,以确保首选项Preferences文件不被篡改:
部分设置的哈希值
可以看到,Chrome对于主页、书签等配置的哈希记录。HMAC SHA256是一种散列机制,它利用种子和消息生成SHA256哈希值。种子被记录在文件resources.pak中。该文件的文件头格式如下:
struct header {
uint32_t version;
uint8_t encoding; // 0 = BINARY, 1 = UTF8, 2 = UTF16
uint8_t padding[3];
uint16_t resource_count;
uint16_t alias_count;
};
随后是一系列资源结构体:
struct resource {
uint16_t resource_id;
uint32_t file_offset;
};
第一个长度为64Bytes的资源即为HMAC种子的值。种子信息被明文记录在资源文件中,能够被攻击者轻易获得。
HMAC种子值
在启动时,Chrome会读取Preferences配置文件中所有的哈希值进行校验,如果与Secure Preferences中的对应值不匹配则会被要求恢复:
启动时读取配置文件
HMAC的计算依赖于以下信息:
1.记录在浏览器安装目录下resources.pak文件中的HMAC种子(hmac_seed)
2.计算机SID(machine_id)
3.原始Secure Preferences和Preferences配置文件(json_path)
以上信息都可以通过Windows API和从Chrome配置文件读取获得,这意味着构造Preferences配置配置文件以通过验证成为可能。本次事件中,攻击者通过重新构造Secure Preferences和Preferences文件,在文件中加入恶意扩展信息,并重新计算HMAC,生成合法的配置文件通过校验,达到绕过Chrome安全首选项安装扩展的目的。
攻击者将扩展文件放置于恶意配置文件指定的路径下,扩展的功能将在浏览器启动时被自动加载执行。通过修改配置文件的方式安装浏览器扩展,整个安装过程无需用户交互即可实现,受害者难以察觉。攻击者利用恶意扩展监听特定的标签ID以及接收的响应,在受害者已登录会话的上下文中窃取电子邮箱账户数据、邮件、附件等信息。
除了无感安装以外,本次事件中的恶意扩展文件在C2控制上也有其得天独厚的优势。扩展的主要功能由JS实现,恶意功能可以由扩展在执行时从C2服务器上拉取执行,这一方面使得攻击者可以很方便地更新代码;另一方面减少了扩展程序中的特征,减少了暴露面,使之更加难以被发现。
Chrome虽然是一个闭源浏览器,但其主要功能都基于开源的chromium浏览器引擎,很多基础性的代码都来源于chromium,这为攻击者寻找与利用其中缺陷与安全弱点提供了可乘之机。
02 总结
今年以来,恶意浏览器扩展屡见不鲜,一些恶意插件摇身变为上架浏览器扩展商店的实用扩展,达成窃取数据的目的。但等待受害者愿者上钩仍然较为被动,本次事件中攻击者采取更主动的攻击策略,通过修改配置文件绕过了Chrome的安全配置检查实现无交互安装扩展。这种攻击流程使得感染过程更加隐蔽,适应更灵活的实战思路。
参考
https://www.adlice.com/google-chrome-secure-preferences/
https://stackoverflow.com/questions/10633357/how-to-unpack-resources-pak-from-google-chrome
https://source.chromium.org/chromium/chromium/src/+/main:chrome/browser/prefs/profile_pref_store_manager.cc;l=100
往期推荐
8月活跃粉丝回馈
M01N Team公众号将根据
8月内所有推文留言的频率和质量
评选一名活跃粉丝
寄出小编精心准备的礼品一份
快来和M01N Team贴贴吧