书签同步已经成为浏览器的一个标准功能,能帮助用户在某一设备上对书签进行改动时,也能同步到其他设备上。然而,研究发现,这种操作也给网络犯罪分子提供了一个便捷的攻击途径。
SANS技术研究所的学术研究人员大卫·普雷弗(David Prefer)的这一发现,是对攻击者如何滥用浏览器功能,从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说,书签可以被滥用来从企业环境中吸走大量被盗数据,或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。
在最近的一篇技术论文中,普雷弗将这一过程描述为 "bruggling"——浏览器和偷渡的谐音。这是一个新颖的数据渗出载体,他用一个名为 "Brugglemark "的概念验证(PoC)PowerShell脚本进行了演示。
泄露原理
如果攻击者已经渗透进系统环境中,他们可以从受害用户那里窃取浏览器的同步凭证,或自行创建浏览器配置文件,并在另一设备系统中访问这些书签。攻击者可以使用同样的技术将恶意的有效载荷和攻击工具偷偷带入一个系统环境。
在实操层面,普雷弗举例,即攻击者可能已经破坏了一个企业环境并访问了敏感文件。为了通过书签同步来渗出数据,攻击者首先需要把数据放到可以存储为书签的形式中。要做到这一点,攻击者可以简单地将数据编码为base64格式,然后将文本分成独立的小块,并将每个小块保存为单独的书签。
普雷弗通过反复试验发现,如今的浏览器允许将大量字符存储为单个书签,实际数量因浏览器不同而存在差异,例如,在使用Brave浏览器时,普雷弗发现他只需使用两个书签就可以很快同步整个《勇敢的新世界》(Brave New World )一书,而用Chrome浏览器做同样的事情需要59个书签。普雷弗在测试中还发现,浏览器配置文件可以一次同步多达20万个书签。
将文本保存为书签并同步后,攻击者需要做的就是从另一台设备登录浏览器,访问、重新组合这些书签并将其从 base64 解码回原始文本。
普雷弗表示,在同步过程中没有利用任何漏洞,主要集中在如何通过书签同步这一实用功能进行恶意滥用。
普雷弗的研究主要集中在浏览器市场份额的领导者 Chrome 上,而如 Edge、Brave 和 Opera等其他浏览器,它们和 Chrome 都基于同一个开源 Chromium 项目。但他指出,Bruggling 也可能同样适用于 Firefox 和 Safari 等浏览器。
SANS研究所的研究院长约翰内斯·乌尔里奇(Johannes Ullrich)认为,通过书签同步的数据渗出给了攻击者一种绕过大多数基于主机和网络的检测工具的方法。对大多数检测工具来说,这些流量会显示为谷歌或任何其他浏览器的正常同步流量。
值得注意的是,书签同步可能不是唯一一个能被滥用的功能,普雷弗表示,自动填充、扩展、浏览器历史记录、存储的密码、首选项和主题等都可以同步并进行滥用,但这些还有待进一步的研究。
防范建议
普雷弗建议,企业组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录进行同步的电子邮箱数量,攻击者将无法使用自己的帐户进行同步。此外,浏览器厂商可通过基于帐户年龄或从新地理位置登录等因素动态限制书签同步。类似地,还可以阻止包含 base64 编码的书签以及具有过多名称和 URL 的书签。
参考来源:https://www.darkreading.com/cloud/chromium-browsers-data-exfiltration-bookmark-syncing