Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1176 , T1176.001 , T1176.002
Злоумышленники могут использовать расширения интернет-браузера для обеспечения постоянного доступа к системам жертвы. Расширения или плагины для браузера - это небольшие программы, которые могут добавлять функциональность в интернет-браузеры и настраивать их параметры. Они могут быть установлены непосредственно через локальный файл или пользовательский URL-адрес или через app Store браузера - официальную онлайн-платформу, где пользователи могут просматривать, устанавливать расширения для определенного веб-браузера и управлять ими. Расширения обычно наследуют ранее предоставленные разрешения веб-браузера.(Цитата: Расширение для браузера Wikipedia) (Цитата: Определение расширений Chrome)
Вредоносные расширения могут быть установлены в браузер с помощью вредоносных загрузок из App Store, маскирующихся под законные расширения, с помощью социальной инженерии или злоумышленником, который уже скомпрометировал систему. В магазинах браузерных приложений уровень безопасности может быть ограничен, поэтому вредоносным расширениям не составит труда обойти автоматические сканеры.(Цитата: Вредоносные добавочные номера Chrome) В зависимости от браузера злоумышленники могут также манипулировать URL-адресом обновления расширения для установки обновлений с сервера, контролируемого злоумышленником, или манипулировать файлом конфигурации мобильного устройства для автоматической установки дополнительных расширений.
До выхода macOS 11 злоумышленники могли незаметно устанавливать расширения браузера через командную строку, используя инструмент profiles для установки вредоносных файлов .mobileconfig. В macOS 11+ использование инструмента profiles больше не позволяет устанавливать профили конфигурации; однако файлы .mobileconfig могут быть загружены и установлены при взаимодействии с пользователем.(Цитата: xorrior chrome extensions для macOS)
Как только расширение установлено, оно может просматривать веб-сайты в фоновом режиме, красть всю информацию, которую пользователь вводит в браузер (включая учетные данные), и использоваться в качестве установщика для RAT для сохранения.(Цитата: Расширение Chrome Crypto Miner) (Цитата: ICEBRG Chrome Extensions)(Цитата: Расширение Banker для Google Chrome крадет кредиты) (Цитата: Расширение Catch All для Chrome)
Также были случаи, когда ботнеты использовали постоянный бэкдор с помощью вредоносных расширений Chrome для управления] (https://attack.mitre.org/tactics/TA0011).(Цитата: Ботнет Stantinko) (Цитата: Вредоносное ПО Chrome Extension C2). Злоумышленники могут также использовать браузерные расширения для изменения разрешений и компонентов браузера, настроек конфиденциальности и других элементов управления безопасностью для [Уклонения от защиты.(Источник: Browers FriarFox) (Источник: Browser Adrozek)
https://attack.mitre.org/techniques/T1176/001
Визуализация смежных техник для T1176.001
| № | Техника |
|---|
