场景:某大型互联网企业安全团队在排查Edge浏览器异常流量时,发现一款安装量超21万的恶意浏览器插件,该插件通过伪装成Office助手安装包中的Dropper植入,数字签名与官方不一致,已持续窃取用户凭证和敏感数据。
攻击 / 事件时间线
初始入侵:供应链投毒
攻击者通过篡改某第三方软件下载站上的Office助手安装包,将正常的安装程序(Release)与一个恶意的Dropper(Update)打包成自解压文件。用户下载运行后,Dropper首先执行,释放并安装恶意浏览器插件,随后运行正常安装程序以迷惑用户。Dropper采用UPX加壳,通过API哈希动态解析关键函数,规避静态检测。
UPXAPI Hashing
持久化与数据窃取
恶意插件伪装成“Office助手”的辅助功能,申请读取所有网站数据、管理下载内容等高级权限。安装后,插件通过content_scripts注入到用户访问的所有页面,劫持表单提交,窃取登录凭证、Cookie和银行信息。同时,插件后台与C2服务器通信,将窃取的数据以Base64编码后通过HTTPS外传,并定期更新恶意载荷。
Chrome Extension APIHTTPSBase64
告警触发与溯源
企业SOC的流量分析系统检测到多台终端异常频繁地向一个未知域名发送POST请求,请求内容为Base64编码数据。威胁情报平台关联该域名为恶意,并发现其关联的DLL数字签名与官方Office助手签名不一致。端点检测系统(EDR)进一步在终端上查找到了恶意的浏览器插件及其释放的Dropper文件。
流量分析威胁情报平台EDR
蓝队视角 · 发现与处置
SOC值班人员通过流量分析系统发现异常外联后,立即启动应急响应。首先,在防火墙上封禁相关恶意域名和IP,切断C2通信。然后,通过EDR对所有受影响终端进行隔离,并提取Dropper和插件样本进行深入分析。分析确认攻击向量为供应链投毒后,安全团队发布全网通告,指导用户卸载恶意插件,并扫描清除Dropper。同时,联系Edge官方商店下架该插件,并溯源第三方下载站以追溯攻击来源。
涉及关键技术 / 工具
供应链投毒分析恶意浏览器插件逆向EDR与流量分析联动
防护经验总结
- 建立软件供应链白名单,禁止员工从非官方渠道下载安装软件,使用软件管家统一管理。
- 部署终端检测与响应(EDR)平台,结合流量分析系统,对异常外联和进程行为进行关联分析。
- 对浏览器插件实行严格管控,通过组策略禁用非官方或未授权的插件安装,定期审计已安装插件列表。
#供应链攻击#浏览器插件#恶意软件#数据窃取#应急响应