Две универсальные и, казалось бы, безобидные функции браузера — возможность создавать закладки (также известные как «избранное») и синхронизация браузера — облегчают жизнь пользователей, но также позволяют хакерам установить скрытый канал по выкачиванию ваших конфиденциальных данных.
Эксфильтрация данных через закладки
Вредоносные расширения браузера являются известной и широко распространенной угрозой, используемой злоумышленниками для выполнения таких действий, как кража паролей, данных электронной почты или доставка вредоносного ПО.
И вот, очередная напасть на головы пользователей. Злоумышленникам удалось с помощью функции синхронизации Chrome использовать расширения браузера для подключения своего компьютера непосредственно к целевой рабочей станции. После чего, создав скрытый канал для удаленного манипулирования данными, выкачивать конфиденциальную информацию из устройства жертвы.
Однако для злодеев не всё так просто. Использование расширений браузера может быть ограничено в корпоративных средах, а доступ к ним заблокирован.
Проверить теорию проникновения на целевое устройство с помощью альтернативных средств решил студент Технологического института SANS Дэвид Префер, взяв для «опыта» пользовательские закладки и попробовав через Избранное добраться до святая святых — персональных данных.
В ходе опыта, создав базовый сценарий PoC PowerShell, студиозус обнаружил, что ничего сложного в эксфильтрации данных через избранное и функцию синхронизации браузера нет.
Автоматизированное кодирование и декодирование данных
Свои исследования и тестирование бурсак проводил на кошках браузерах, основанных на Chromium (Chrome, Edge, Brave и Opera), которые в совокупности используются подавляющим большинством пользователей.
В ходе опыта студент выяснил, что синхронизация запускается различными действиями, связанными с закладками (создание, удаление и т. п.), И что удаленные устройства обычно получают синхронизированные закладки в считанные секунды. Он также выяснил максимальное количество символов, которые могут содержать поля имени и URL-адреса закладок для синхронизации, а также максимальное количество закладок, которые могут быть синхронизированы за один раз.
Полученную в результате исследования синхронизации закладок информацию Дэвид Префер использовал для создания Brugglemark*, скрипта, который кодирует в base64 предоставленный текст, разбивает его на более мелкие строки и создает закладки Chrome, вставляя их в локальный файл закладок в формате JSON (с фиктивным текстом в полях закладок).
Brugglemark — портманто из «браузер» + «контрабанда» + «закладки» (Brugglemark = «browser» + «smuggle» + «bookmarks»)
Портманто — образование из частей нескольких слов
Далее подложные данные из файла этих закладок в момент синхронизации переносятся на целевое устройство.
Кажется скрипт, созданный Префером, может оказаться «бомбой замедленного действия», если попадёт в руки злоумышленников. Хотя он и так выложен студентом на GitHub. Но, как утверждает сам Префер, в Сети есть более мощные инструменты для атаки. А скрипты, наподобие Brugglemark, может построить любой бурсак технического вуза на основе информации, уже имеющейся в Интернете.
Дополнительным барьером, по утверждению Префера, может стать тот факт, что для работы скрипта Brugglemark требуется PowerShell 6.0.
«В Windows версия 5.0 или 5.1 является версией по умолчанию. И для работы скрипта вам придется установить PS 6 или выше, чтобы запустить сценарий», — отметил он.
«Кроме того, Brugglemark действительно работает только с открытыми текстовыми файлами — такова его концепция. Он не работает с документами Word и любым другим типом документов».
Не только эксфильтрация данных
Контрабанда данных через синхронизацию закладок может быть выполнена с помощью существующих (скомпрометированных) профилей / учетных записей браузера или злоумышленниками, создающими и вошедшими в систему со своей собственной учетной записью. Закладки и/или профиль злоумышленника можно скрыть от просмотра пользователей, создав их в альтернативных местах.
«Использование закладок и синхронизации только для эксфильтрации персональных данных не выгодная для хакера затея. Ведь синхронизация браузера обеспечивает двусторонний канал для данных», — отметил Префер.
«Закладки могут использоваться для переноса сценариев атак или инструментов в среду, доставки вредоносных полезных нагрузок или передачи данных между системами во время бокового перемещения. Их можно даже использовать, чтобы закрепиться в качестве мягкой двухэтапной фишинговой атаки».
Например, если пользователь вошел в браузер на работе и использует ту же учетную запись для входа на свой персональный компьютер дома, через этот домашний компьютер злоумышленникам будет обеспечен доступ к корпоративной сети.
Мошенники, используя вредоносный скрипт, могут изменить закладку для сайта, который часто посещает жертва, чтобы направить её на похожий фишинговый сайт.
Оборонительные действия
Какие меры пользователь может предпринять для защиты от атаки через браузер:
1. Установка программного обеспечения только из магазинов или с ресурсов разработчика
2. Установка браузерных расширений из официальных интернет репозиториев.
3. Использование AV для предварительной проверки устанавливаемых утилит.
