谷歌 Chrome 同步功能可滥用于 C2 通信及数据提取

对于非 Chrome 用户而言，Chrome 同步功能是 Chrome web 浏览器的一个功能，用于存储谷歌云服务器上的用户 Chrome 书签、浏览历史、密码和浏览器及扩展设置的副本。该功能用于同步用户不同设备之间的这些详情，以便无论何时都能够访问最近访问的 Chrome 数据。

克罗地亚的一名安全研究员 Bojan Zdrnja 在本周四指出，在一次事件响应活动中，他发现一个恶意 Chrome 扩展正在滥用 Chrome 同步功能，和一个远程 C&C 服务器通信并从受感染浏览器中提取数据。

Zdrnja 指出，在所调查的事件中，虽然攻击者获得对受害者计算机的访问权限，但由于他们想要盗取的数据位于员工门户中，因此在用户计算机中下载了一个 Chrome 扩展并通过浏览器的开发者模式加载。

该扩展伪装成安全公司 Forcepoint 的安全组件，其中包含的恶意代码滥用 Chrome 同步功能，使攻击者能够控制受感染浏览器。

Zdrnja 表示，攻击者的目标是使用该扩展“操控受害者可访问的内部 Web 应用中的数据。虽然他们也想要扩展访问权限，但实际上将该工作站上的活动限制到和 Web 应用相关的工作站，这就解释了他们为何只是释放了恶意 Chrome 扩展而非其它二进制。”

该扩展中出现的恶意代码表明，攻击者正在使用恶意组件创建基于文本的字段以存储令牌密钥，之后这些密钥被同步到谷歌云服务器中。他指出，“为设置、读取或删除这些密钥，攻击者所需做的就是通过相同账户在另外一个 Chrome 浏览器中登录到谷歌（该账户可以是废弃账户），通过滥用谷歌的基础设施在受害者网络中和 Chrome 浏览器通信。”

Zdrnja 表示，存储在密钥字段中的数据可以是任意信息。它可以是恶意扩展收集到的浏览器数据（如用户名、密码、密钥等）或者是攻击者想要该扩展在受感染工作站上执行的命令。

如此，该扩展可被攻击者用作企业网络内部的一个提取通道，通往攻击者的 Chrome 浏览器实例，或者作为绕过本地安全防御措施，远程控制受感染浏览器的方式。

由于被盗内容或后续命令是通过Chrome的基础设施发送的，因此在都搜狐企业网络中，这些操作均无法检测到或拦截。在多数企业网络中，Chrome 浏览器通常可畅通无阻地操作并传输数据。

Zdrnja 警告称，“如今，如果考虑拦截对 client4.google.com 的访问权限就要担心了：它是 Chrome 的一个重要网站，同时用于检查 Chrome 是否联网等。”

研究员督促企业使用 Chrome 的企业功能和组策略支持，拦截并控制可安装于浏览器中的扩展，以免安装恶意扩展。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。