隐藏在浏览器背后的“黑手”(4)

此类木马对外部用户和内部员工访问同时具有严重危害。

在外部用户方面，如果企业没有严格控制系统第三方资源加载，黑产利用Broken Link Hijacking的攻击手法，致使业务系统加载资源时被劫持植入恶意代码，将严重影响用户体验、信息安全和企业形象。

从内部员工角度，传统杀软、EDR等终端安全设备并不能很好地识别出此类恶意插件，攻击者通过传播恶意浏览器插件控制员工浏览器加载远程恶意资源，不仅仅可以用于广告注入，相较于针对浏览器的其他攻击方式，可以达到更稳定，触发面更广的敏感信息窃取、内网探测等，在CSP历史阻断的恶意请求中，我们也发现除窃取Cookie信息外，也存在恶意代码窃取页面文本信息的情况，这些文本信息在企业内部平台中，极有可能包含大量用户，订单等敏感信息。

针对恶意浏览器插件，在检测方面对其代码做静态分析成本比较大，触发恶意请求的Payload都是通过大量编码转换、拼接、正则匹配等构造而成、且经过了很多没有实际意义的方法，在动态分析方面，由于Chrome插件代码会调用Chrome后台API，在常规沙箱环境中可能会出现无法调用API而中途报错退出。分析中还发现，很多恶意行为需要触发特定事件才能进入到构造恶意Payload流程，如触发chrome.tabs.onUpdated等。

对于浏览器插件安全，可以通过以下方式进行检测及防护：

禁止安装未在Chrome应用商店上线的插件（公司内部开发的插件除外）；

对插件manfiest.json文件进行轻量级的排查，manfiest.json文件中申请权限相对敏感，如Cookie、tabs、webRequest等等；

利用内容安全策略（CSP）对应用页面发起的请求进行拦截或监控，集合静态与动态分析技术，判断JavaScript文件行为；

利用浏览器沙箱与EDR，定期对浏览器插件进行扫描；

构建网络层的检测能力，发现有恶意请求及时应急处理。

对于业务系统自身是否加载恶意资源方面：

严格控制系统加载的第三方资源；

通过内容安全策略（CSP）对页面触发的请求进行拦截或监控。