3.2 恶意插件
排查到包含Lnkr木马特征的恶意插件:
部分恶意插件截图:
四、复盘
Lnkr木马所造成的危害有哪些?
Lnkr木马的核心域名之一cdngateway.net在全球域名流量排名8900位,从流量来源角度,通过外部网站跳转带来的流量占比总流量的65.48%,可见其攻击范围极广,受其影响的应用、用户数量也是非常庞大的。
此类木马对外部用户和内部员工访问同时具有严重危害。
在外部用户方面,如果企业没有严格控制系统第三方资源加载,黑产利用Broken Link Hijacking的攻击手法,致使业务系统加载资源时被劫持植入恶意代码,将严重影响用户体验、信息安全和企业形象。
从内部员工角度,传统杀软、EDR等终端安全设备并不能很好地识别出此类恶意插件,攻击者通过传播恶意浏览器插件控制员工浏览器加载远程恶意资源,不仅仅可以用于广告注入,相较于针对浏览器的其他攻击方式,可以达到更稳定,触发面更广的敏感信息窃取、内网探测等,在CSP历史阻断的恶意请求中,我们也发现除窃取Cookie信息外,也存在恶意代码窃取页面文本信息的情况,这些文本信息在企业内部平台中,极有可能包含大量用户,订单等敏感信息。
如何发现此类恶意木马植入?
针对恶意浏览器插件,在检测方面对其代码做静态分析成本比较大,触发恶意请求的Payload都是通过大量编码转换、拼接、正则匹配等构造而成、且经过了很多没有实际意义的方法,在动态分析方面,由于Chrome插件代码会调用Chrome后台API,在常规沙箱环境中可能会出现无法调用API而中途报错退出。分析中还发现,很多恶意行为需要触发特定事件才能进入到构造恶意Payload流程,如触发chrome.tabs.onUpdated等。
对于浏览器插件安全,可以通过以下方式进行检测及防护:
禁止安装未在Chrome应用商店上线的插件(公司内部开发的插件除外);
对插件manfiest.json文件进行轻量级的排查,manfiest.json文件中申请权限相对敏感,如Cookie、tabs、webRequest等等;
利用内容安全策略(CSP)对应用页面发起的请求进行拦截或监控,结合静态与动态分析技术,判断JavaScript文件行为;
利用浏览器沙箱与EDR,定期对浏览器插件进行扫描;
构建网络层的检测能力,发现有恶意请求及时应急处理。
对于业务系统自身是否加载恶意资源方面:
严格控制系统加载的第三方资源;
通过内容安全策略(CSP)对页面触发的请求进行拦截或监控。
总结
黑产组织利用此类木马进行恶意引流、窃取用户信息等,给用户访问带来安全风险,也危害到企业自身形象,在HTTPS场景下,虽然排除了链路上用户访问被劫持的风险,但用户端访问环境安全性不定,为确保用户获取的信息可靠,没有被篡改,仍然需要进一步加强防护。希望本文能给大家带来一些帮助或者启发。
