T1176: РОЗШИРЕННЯ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
Зловмисники зловживають розширеннями (плагінами) для браузерів (Chrome, Firefox), середовищ розробки (VS Code, IntelliJ) або інших платформ для встановлення постійного доступу. Оскільки розширення успадковують права самої програми, шкідливий плагін може читати всі відвідувані сайти, перехоплювати паролі в формах, викрадати файли куки (cookies) або навіть виконувати код у системі розробника, залишаючись при цьому непомітним для антивірусів.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати розширеннями ПЗ для встановлення постійного доступу до систем жертви. Розширення ПЗ — це модульні компоненти, які покращують або налаштовують функціональність програмних додатків, включаючи веб-браузери, інтегровані середовища розробки (IDE) та інші платформи. Розширення зазвичай встановлюються через офіційні маркетплейси, магазини додатків або завантажуються користувачами вручну, і вони часто успадковують дозволи та рівні доступу хостового додатка.
Шкідливі розширення можуть бути впроваджені за допомогою різних методів, включаючи соціальну інженерію, скомпрометовані маркетплейси або пряму інсталяцію користувачами чи зловмисниками, які вже отримали доступ до системи. Шкідливі розширення можуть мати назви, подібні або ідентичні до безпечних розширень у маркетплейсах. Механізми безпеки в магазинах розширень можуть бути недостатніми для виявлення шкідливих компонентів, що дозволяє зловмисникам обходити автоматичні сканери або експлуатувати довіру, встановлену під час процесу інсталяції. Зловмисники також можуть зловживати легітимними розширеннями для досягнення своїх цілей, наприклад, використовуючи легітимну функціональність для тунелювання даних або обходу засобів контролю безпеки.
Модульна природа розширень та їхня інтеграція з хостовими додатками роблять їх привабливою ціллю для зловмисників, які прагнуть експлуатувати довірені екосистеми програмного забезпечення. Виявлення може бути складним через притаманну довіру до розширень під час встановлення та їхню здатність зливатися зі звичайними робочими процесами додатків.
Чому це небезпечно для бізнесу та розробників?
- Повний доступ до даних: Браузерне розширення з правами tabs або <all_urls> може бачити все, що ви вводите на будь-якому сайті, включаючи паролі, номери карток та конфіденційне листування.
- Атака на ланцюжок поставок (Supply Chain): Шкідливе розширення для VS Code може непомітно додавати бекдор у вихідний код, який пише програміст, ще до того, як цей код потрапить у репозиторій.
- Обхід 2FA: Якщо зловмисник вкрав сесійні куки через розширення, йому не потрібен ваш пароль або другий фактор — він просто імпортує куки у свій браузер і стає «вами».
Як захиститися?
- Принцип мінімальних привілеїв: У браузері Chrome налаштуйте дозволи розширень так, щоб вони мали доступ лише до конкретних сайтів («On click» або «On specific sites»), а не до всіх (:///*).
- Аудит розширень: Регулярно перевіряйте список встановлених плагінів. Видаляйте ті, якими не користуєтеся.
- Білі списки (Allowlisting): У корпоративному середовищі використовуйте групові політики (GPO), щоб дозволити встановлення лише перевірених розширень з офіційних магазинів.
- Аналіз розробника: Перед встановленням перевіряйте репутацію автора розширення та дату останнього оновлення.