威胁参与者发现他们可以滥用Google Chrome同步功能,将命令发送到受感染的浏览器并从受感染的系统中窃取数据,从而绕过传统的防火墙和其他网络防御。
对于非Chrome用户,Chrome同步是Chrome网络浏览器的一项功能,可在Google的云服务器上存储用户的Chrome书签,浏览历史记录,密码以及浏览器和扩展程序设置的副本。
该功能用于在用户的不同设备之间同步这些详细信息,因此无论用户身在何处,始终可以访问其最新的Chrome数据。
克罗地亚安全研究人员Bojan Zdrnja周四表示,在最近的事件响应中,他发现一个恶意的Chrome扩展程序滥用了Chrome同步功能,以此作为与远程命令和控制(C& C)服务器以及一种从受感染的浏览器中窃取数据的方法。
Zdrnja表示,在他调查的事件中,攻击者可以使用受害者的计算机,但是由于他们想要窃取的数据位于员工的门户内部,因此他们在用户上下载了Chrome扩展程序。的计算机,并通过浏览器的开发人员模式将其加载。
该扩展是安全公司Forcepoint的一个安全插件,其中包含恶意代码,这些恶意代码滥用了Chrome同步功能,从而使攻击者可以控制受感染的浏览器。
Zdrnja说,此特定攻击者的目标是使用扩展名来“操纵”受害者可以访问的内部Web应用程序中的数据。
"尽管他们还想扩展访问权限,但实际上他们将工作站上的活动限制为与Web应用程序相关的活动,这说明了为什么他们只丢弃了恶意的Chrome扩展程序,而没有丢弃任何其他二进制文件的原因," Zdrnja在周四发布的报告中表示。
在扩展程序中发现的恶意代码表明,攻击者正在使用恶意加载项创建一个基于文本的字段来存储令牌密钥,然后将其作为同步功能的一部分同步到Google云服务器。
"要设置,读取或删除这些密钥,攻击者所需要做的就是使用相同的帐户登录到Google,并在另一个Chrome浏览器(可以是一次性帐户)中进行访问,并且他们可以与通过滥用Google的基础架构,在受害者的网络中使用Chrome浏览器,他说。
可能是恶意扩展收集到的有关受感染浏览器的数据(例如用户名,密码,加密密钥等)或攻击者希望扩展在受感染工作站上执行的命令。
通过这种方式,该扩展程序可以用作从公司网络内部到攻击者的Chrome浏览器实例的渗透通道,也可以用作远程控制受感染浏览器的方法,从而绕过本地安全防御措施。
由于所窃取的内容或后续命令是通过Chrome的基础结构发送的,因此在大多数公司网络中,这些操作都不会被检查或阻止,在大多数公司网络中,Chrome浏览器通常被允许不受阻碍地进行操作和传输数据。
"现在,如果您要考虑阻止对client4.google.com的访问,请当心-这是Chrome浏览器非常重要的网站,该网站还可以用于检查Chrome浏览器是否已连接到互联网(除其他外) ," Zdrnja警告。
相反,研究人员敦促公司使用Chrome的企业功能和组策略支持来阻止和控制可以在浏览器中安装哪些扩展程序,从而防止像他调查的那样安装恶意扩展程序。