Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rozszerzenia przeglądarkowe od dawna są atrakcyjnym celem dla cyberprzestępców, jednak zwykle pozostają ograniczone przez mechanizmy izolacji przeglądarki. Opisany przypadek pokazuje, że granica między środowiskiem przeglądarki a systemem operacyjnym może zostać osłabiona przez funkcję Native Messaging, która legalnie umożliwia komunikację rozszerzenia z lokalną aplikacją. W niepowołanych rękach taki mechanizm staje się wygodnym pomostem do uruchamiania złośliwego kodu poza sandboxem.
W skrócie
- Badacze opisali kampanię z użyciem złośliwego rozszerzenia Microsoft Edge o nazwie „Edgecution”.
- Atak opiera się na socjotechnice i fałszywych aktualizacjach podszywających się pod usługi Microsoft lub wsparcie IT.
- Rozszerzenie komunikuje się z lokalnym backdoorem w Pythonie za pośrednictwem Native Messaging.
- Napastnik może wykonywać polecenia systemowe, uruchamiać PowerShell, zapisywać pliki i zbierać dane o hoście.
- Technika zwiększa skuteczność ataku, ponieważ część działań odbywa się poza przeglądarkowym sandboxem.
Kontekst / historia
Opisana aktywność wpisuje się w taktyki znane z działań initial access brokerów, czyli podmiotów specjalizujących się w uzyskiwaniu pierwszego dostępu do środowisk organizacji. Taki dostęp bywa następnie odsprzedawany kolejnym grupom zagrożeń, w tym operatorom ransomware. W analizowanej kampanii ofiary były kierowane na fałszywe strony udające infrastrukturę Microsoft lub panele aktualizacji Outlooka.
To podejście odzwierciedla szerszy trend nadużywania zaufanych narzędzi i legalnych funkcji systemowych zamiast klasycznego dostarczania podejrzanych plików wykonywalnych. Z perspektywy obrony jest to szczególnie problematyczne, ponieważ aktywność przeciwnika może przypominać zwykłe działania administracyjne, developerskie lub integracyjne.
Analiza techniczna
Kluczowym elementem ataku jest Native Messaging w Microsoft Edge. Mechanizm ten umożliwia rozszerzeniu wymianę danych z natywną aplikacją zainstalowaną lokalnie za pomocą standardowego wejścia i wyjścia. W legalnych scenariuszach korzystają z niego na przykład menedżery haseł i narzędzia integrujące przeglądarkę z systemem.
Aby taki kanał działał, potrzebne są dwa składniki: rozszerzenie z odpowiednimi uprawnieniami oraz manifest natywnego hosta, który definiuje lokalny komponent i zakres dozwolonej komunikacji. W opisywanym incydencie łańcuch infekcji rozpoczyna się od phishingu i rzekomej aktualizacji lub weryfikacji oprogramowania. Ofiara jest skłaniana do pobrania komponentów, uruchomienia skryptów albo ręcznego wykonania poleceń.
Badacze wskazali, że do wdrożenia wykorzystywano między innymi AutoHotKey, skrypty wsadowe i PowerShell. Celem było przygotowanie środowiska, rozpakowanie spreparowanego archiwum ZIP, uruchomienie osadzonej wersji Pythona oraz utworzenie mechanizmu trwałości. Archiwum zawierało zarówno komponent rozszerzenia, jak i część natywną działającą po stronie systemu.
Samo rozszerzenie podszywało się pod legalny moduł monitorujący Edge i komunikowało się z serwerem dowodzenia. Ponieważ kod rozszerzenia nadal podlega ograniczeniom przeglądarki, zasadnicze operacje wykonywał backdoor w Pythonie uruchamiany jako lokalny host. Tworzone były również pliki pomocnicze, takie jak skrypt wsadowy oraz manifest Native Messaging wskazujący ścieżkę do hosta i dozwolone źródła komunikacji.
Następnie Microsoft Edge był uruchamiany w trybie headless, co pozwalało ukryć aktywność rozszerzenia przed użytkownikiem. Rozszerzenie odbierało polecenia z infrastruktury C2, przekazywało je przez kanał Native Messaging do komponentu hosta, a wyniki wracały do operatora. Obsługiwane funkcje obejmowały wykonywanie poleceń powłoki, uruchamianie PowerShell, wykonywanie kodu Python, zapis plików, enumerację procesów oraz zbieranie informacji systemowych.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tej techniki jest praktyczne obejście ograniczeń wynikających z izolacji rozszerzeń przeglądarkowych. Rozszerzenie nie musi samo realizować wszystkich złośliwych działań, jeśli może przekazywać instrukcje do natywnego komponentu działającego w systemie operacyjnym.
Dla organizacji oznacza to ryzyko zdalnego wykonania poleceń na stacji roboczej, utrzymania trwałości, kradzieży danych uwierzytelniających, ruchu bocznego oraz przygotowania gruntu pod pełnoskalowy incydent ransomware. Dodatkowym utrudnieniem jest wykorzystanie legalnych mechanizmów, co może obniżać skuteczność klasycznych detekcji opartych na sygnaturach.
Ryzyko rośnie w środowiskach, w których użytkownicy mogą samodzielnie instalować rozszerzenia, uruchamiać skrypty otrzymane przez pocztę lub komunikatory oraz pracować na kontach z nadmiernymi uprawnieniami. Jeśli organizacja nie monitoruje tworzenia manifestów Native Messaging ani uruchamiania Edge w trybie headless, atak może przez dłuższy czas pozostać niezauważony.
Rekomendacje
Podstawą obrony powinno być ograniczenie instalacji rozszerzeń wyłącznie do zatwierdzonej listy oraz regularny przegląd dodatków używanych w Microsoft Edge. Szczególną uwagę należy zwracać na rozszerzenia żądające uprawnień związanych z komunikacją natywną lub wdrażane poza kontrolowanym procesem.
Drugim filarem jest monitorowanie i kontrola konfiguracji Native Messaging. Organizacje powinny wykrywać pojawienie się nowych manifestów hostów, zmiany w odpowiednich kluczach rejestru oraz nietypowe ścieżki do lokalnych komponentów wykonywalnych. Warto także wdrożyć polityki allowlist i blocklist dla hostów Native Messaging oraz ograniczyć możliwość uruchamiania nieautoryzowanych interpreterów, takich jak osadzone kopie Pythona.
Z perspektywy SOC i EDR istotne jest budowanie reguł wykrywających łańcuch zdarzeń obejmujący uruchomienie Microsoft Edge w trybie headless, tworzenie zaplanowanych zadań, pobieranie nietypowych archiwów, wykonywanie AutoHotKey lub PowerShell z katalogów użytkownika oraz komunikację rozszerzeń z lokalnymi procesami.
Nie mniej ważna jest odporność użytkowników na socjotechnikę. Procedury aktualizacji oprogramowania powinny być scentralizowane, a pracownicy muszą wiedzieć, że dział IT nie prosi przez komunikatory o ręczne uruchamianie skryptów, kopiowanie komend do schowka ani instalowanie pilnych aktualizacji z zewnętrznych stron.
Podsumowanie
Przypadek Edgecution pokazuje, że legalne funkcje integracyjne przeglądarki mogą zostać przekształcone w skuteczny kanał wdrożenia malware. Kluczowym elementem nie jest samo złośliwe rozszerzenie, lecz jego połączenie z natywnym hostem uruchamianym poza sandboxem. Dla zespołów bezpieczeństwa to wyraźny sygnał, że przeglądarka powinna być traktowana nie tylko jako aplikacja użytkownika końcowego, ale także jako potencjalny punkt wejścia do pełnej kompromitacji hosta.