Détournement de navigateur : Analyse de trois techniques
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article explore trois techniques différentes utilisées par les pirates de navigateur pour manipuler les navigateurs des utilisateurs sous Windows. Il couvre la falsification directe des fichiers de préférences du navigateur, l’émulation de frappes scriptées pour piloter à distance l’interface utilisateur du navigateur, et l’utilisation abusive de commutateurs en ligne de commande Chromium pour charger des extensions malveillantes. Chaque méthode est accompagnée d’artefacts représentatifs et d’exemples de code. L’objectif principal de ces détournements est l’injection de publicités et la redirection non autorisée, plutôt que le vol de justificatifs d’identité ou l’exfiltration directe de données.
Enquête
Le chercheur a examiné les logiciels malveillants associés aux campagnes TamperedChef/BaoLoader et identifié un module natif, UtilityAddon.node, utilisé pour collecter des identifiants système et modifier les fichiers de préférences de Firefox et Chrome. Un deuxième échantillon a démontré un outil d’accès à distance au navigateur (BRAT) qui imite les raccourcis clavier pour changer la barre d’adresse, ouvrir de nouveaux onglets et générer des clics publicitaires frauduleux. Le troisième scénario impliquait un détourneur basé sur VBS/PowerShell qui configure des tâches planifiées, surveille la création de processus via WMI, désactive les mises à jour de Chrome et force le chargement d’une extension malveillante via un commutateur en ligne de commande Chromium désormais obsolète.
Atténuation
Les défenseurs doivent supprimer ou mettre en quarantaine les composants détournables tels que UtilityAddon.node, les entrées .reg malveillantes et les scripts PowerShell suspects. Désactivez ou supprimez les tâches planifiées qui invoquent des scripts inconnus ou non approuvés. Restaurez les fichiers de préférences des navigateurs à partir de sauvegardes connues et appliquez des permissions de fichiers strictes. Surveillez ou bloquez les tentatives d’utilisation de l’ancien commutateur –load-extension de Chromium et vérifiez que les mécanismes de mise à jour automatique de Chrome restent activés.
Réponse
Lors de la détection, recherchez les artefacts décrits et suivez les modifications des fichiers de préférences du navigateur, des valeurs de registre qui interfèrent avec les mises à jour, et des paramètres de ligne de commande du navigateur atypiques. Isolez les machines impactées, capturez les preuves volatiles et effectuez un examen approfondi des extensions installées et activement chargées. Utilisez des scripts de remédiation automatisés pour réinitialiser les paramètres du navigateur à des valeurs par défaut sécurisées et réactiver les services de mise à jour. Enfin, surveillez tout indicateur réseau lié qui pourrait signaler une activité de commande et contrôle.
Flux d’attaque
Détections
Activité de chargement d’extension de navigateur suspecte (via cmdline)
Voir
IOCs (HashSha256) à détecter : Détournement de navigateur : Trois études de technique
Voir
Détournement de navigateur via modification de fichier de préférence [Événement de fichier Windows]
Voir
Surveillance des scripts PowerShell et terminaison des processus de navigateur [Windows Powershell]
Voir
Exécution de simulation
Prérequis : la vérification préalable de télémétrie et de base doit avoir été validée.
-
Narratif d’attaque & commandes :
L’adversaire a précédemment déposé un script PowerShell malveillant nommé configuration.ps1 dans%LOCALAPPDATA%DiagnosticNET. Le script surveille en permanence les processus du navigateur (Chrome, Edge, Firefox) et les termine, forçant le redémarrage du navigateur utilisateur et le chargement d’une extension malveillante précédemment placée dans le profil de l’utilisateur. Pour déclencher la détection, l’attaquant lance le script via un appel direct PowerShell :- Créez le dossier caché et déposez le script malveillant.
- Exécutez le script avec
powershell.exeen utilisant une ligne de commande en clair qui correspond aux conditions de la règle. - Le script enregistre son activité dans la console (à des fins de démonstration) et tue les navigateurs cibles.
-
Script de test de régression :
# --------------------------------------------------------- # Script de régression – reproduit l'activité déclenchante la détection # --------------------------------------------------------- # 1. Préparez le répertoire caché $targetDir = "$env:LOCALAPPDATADiagnosticNET" if (-not (Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force | Out-Null # Masquez le répertoire (Get-Item $targetDir).Attributes = 'Hidden','Directory' } # 2. Déposez la configuration malveillante.ps1 $scriptPath = Join-Path $targetDir "configuration.ps1" @' # Script de configuration malveillante – termine les navigateurs $browsers = @("chrome", "msedge", "firefox") foreach ($proc in $browsers) { Get-Process -Name $proc -ErrorAction SilentlyContinue | Stop-Process -Force -ErrorAction SilentlyContinue } Write-Output "Processes des navigateurs terminés." '@ | Set-Content -Path $scriptPath -Encoding UTF8 # 3. Exécutez le script via PowerShell – cela devrait déclencher la règle Sigma $cmd = "$env:WINDIRSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -File `"$scriptPath`"" Write-Host "Exécution du script malveillant:" $cmd & $env:WINDIRSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -File $scriptPath -
Commandes de nettoyage :
# --------------------------------------------------------- # Nettoyage – supprime les artefacts créés par le test de régression # --------------------------------------------------------- # Arrêtez tous les processus de navigateur égarés qui auraient pu être interrompus # (Aucune action n'est nécessaire – les navigateurs peuvent être redémarrés manuellement) # Supprimez le script malveillant et le dossier caché $targetDir = "$env:LOCALAPPDATADiagnosticNET" if (Test-Path $targetDir) { Remove-Item -Path $targetDir -Recurse -Force } # Facultatif, effacez l'historique des commandes PowerShell Clear-History