安全团队现在需要防范的6种基于浏览器的攻击

近年来，针对用户网页浏览器的攻击出现了前所未有的增长。在本文中，我们将探讨什么是“基于浏览器的攻击”，以及它们为何如此有效。

什么是基于浏览器的攻击？

首先，明确什么是基于浏览器的攻击很重要。

在大多数情况下，攻击者并不会将目标视为攻击你的网页浏览器。他们的最终目标是获取你的业务应用程序和数据。这意味着他们会针对那些如今已成为企业IT支柱的第三方服务发起攻击。

如今最常见的攻击路径是，攻击者登录第三方服务，窃取数据，然后通过勒索获利。只需看看去年的雪花（Snowflake）客户数据泄露事件，或是仍在持续的 Salesforce 攻击事件，就能明白其影响。

最合理的做法是针对这些应用程序的用户。而且，由于工作方式的改变，你的用户比以往任何时候都更容易受到外部攻击者的攻击，并且面临着更广泛的潜在攻击手段。

从前，电子邮件是与更广阔世界沟通的主要渠道，而工作则在本地进行——在你的设备上，以及在你封闭的网络环境中。从安全角度来看，这使得电子邮件和终端成为最优先考虑的对象。

但如今，随着现代工作在去中心化的互联网应用网络中开展，且电子邮件之外的沟通渠道愈发多样，阻止用户接触恶意内容变得更加困难（至少，在不显著妨碍他们工作能力的情况下是如此）。

鉴于浏览器是访问和使用商业应用程序的地方，攻击也越来越多地在这里发生也就不足为奇了。

安全团队需要了解的6种主要浏览器攻击方式

1. 凭据和会话钓鱼

攻击者入侵业务应用程序最直接的方式是对该应用的用户进行钓鱼攻击。你可能未必会认为钓鱼攻击是一种基于浏览器的攻击，但如今它确实如此。

在过去十年中，钓鱼工具和基础设施有了很大的发展，而企业信息技术的变化意味着钓鱼攻击的传播途径以及攻击目标的应用程序和身份都变得更多了。

攻击者可以通过即时通讯应用、社交媒体、短信、恶意广告发送链接，还会利用应用内的通讯功能，以及直接从SaaS服务发送电子邮件来绕过基于电子邮件的检查。同样，如今每个企业都有数百个应用可能成为攻击目标，且这些应用的账户安全配置水平各不相同。

如今，钓鱼攻击已形成产业化规模，采用了一系列混淆和规避检测技术。最新一代完全定制化的绕过多因素认证（MFA）的钓鱼工具包会动态混淆加载网页的代码，实施定制化的机器人防护（例如验证码或Cloudflare Turnstile），运用运行时反分析功能，并利用合法的软件即服务（SaaS）和云服务来托管和分发钓鱼链接以掩盖踪迹。您可以在此处了解更多关于现代钓鱼攻击绕过检测控制的方式。

这些变化使得钓鱼攻击比以往任何时候都更加有效，并且使用基于电子邮件和网络的反钓鱼工具来检测和拦截它们也变得越来越困难。

2. 恶意复制粘贴（又名ClickFix、FileFix等）

过去一年中最大的安全趋势之一，是名为点击修复的攻击技术的出现。

这类攻击最初被称为“虚假验证码”，它们试图欺骗用户在自己的设备上运行恶意命令——通常是通过让用户在浏览器中完成某种形式的验证挑战。

实际上，受害者在解决这个难题时，其实是在从页面剪贴板复制恶意代码并在自己的设备上运行。这类攻击通常会给受害者一些指令，包括点击提示框，以及直接在Windows的“运行”对话框、终端或PowerShell中复制、粘贴并运行命令。诸如FileFix之类的变种也已出现，它们转而利用文件资源管理器的地址栏来执行操作系统命令，而最近的案例显示，这种攻击已扩展到Mac系统，通过macOS终端实施。

最常见的是，这些攻击被用于传播信息窃取恶意软件，通过窃取的会话cookie和凭证来访问商业应用程序和服务。

与现代的凭证和会话钓鱼类似，指向恶意页面的链接通过各种分发渠道传播，并使用多种诱饵，包括伪装成验证码、Cloudflare Turnstile、模拟网页加载错误等等。许多用于混淆和阻止对钓鱼页面进行分析的保护措施同样适用于ClickFix页面，这使得检测和拦截它们也同样具有挑战性。

3. 恶意OAuth集成

恶意的OAuth集成是攻击者通过诱骗用户授权与恶意的、由攻击者控制的应用进行集成，从而危害应用的另一种方式。这也被称为同意钓鱼。

这是攻击者绕过强化的身份验证和访问控制的一种有效方法，他们通过避开常规登录流程来接管账户。这其中包括像密码密钥这类抗钓鱼的多因素认证方法，因为标准登录流程并不适用。

这种攻击的一个变种最近因持续的Salesforce数据泄露事件而成为头条新闻。在这种情况下，攻击者通过Salesforce中的设备代码授权流程，诱骗受害者授权一个由攻击者控制的OAuth应用，该流程要求用户输入一个8位数字代码来替代密码或多因素认证（MFA）要素。

防止恶意OAuth授权获得批准，需要对用户权限和租户安全设置进行严格的应用内管理。考虑到现代企业中使用的数百个应用程序，其中许多并非由IT和安全团队集中管理（在某些情况下，他们甚至完全不知道这些应用程序的存在），这绝非易事。即便如此，你仍会受到应用程序供应商所提供的控制措施的限制。

在这种情况下，Salesforce已宣布计划更改OAuth应用授权，以提高安全性，这是受这些攻击的推动——但未来仍有更多配置不安全的应用可供攻击者利用。

4. 恶意浏览器扩展程序

恶意浏览器扩展程序是攻击者危害企业应用程序的另一种方式，他们可以通过这种方式观察和捕获实时登录信息，以及（或者）提取保存在浏览器缓存和密码管理器中的会话Cookie和凭据。

攻击者通过创建自己的恶意扩展程序并诱骗用户安装，或者接管现有扩展程序以获取已安装该扩展程序的浏览器的访问权限来实现这一点。攻击者购买现有扩展程序并为其添加恶意更新的过程出奇地简单，且很容易通过扩展程序应用商店的安全检查。

自2024年12月Cyberhaven扩展程序遭黑客攻击（同时至少有35个其他扩展程序也受影响）以来，与基于扩展程序的入侵相关的新闻日益增多。从那以后，已发现数百个恶意扩展程序，其安装量达数百万次。

一般来说，除非经过安全团队预先批准，否则员工不应随意安装浏览器扩展程序。然而，实际情况是，许多组织对员工正在使用的扩展程序以及由此带来的潜在风险几乎一无所知。

5. 恶意文件传递

多年来，恶意文件一直是恶意软件传播和凭证窃取的核心组成部分。正如恶意广告和自动下载攻击等非电子邮件渠道被用于传播钓鱼和ClickFix诱饵一样，恶意文件也通过类似方式进行分发——这使得恶意文件检测只能依赖于基本的已知恶意文件检查、使用代理的沙箱分析（在具有沙箱感知能力的恶意软件面前作用不大）或端点上的运行时分析。

这不仅仅是指恶意可执行文件直接向设备植入恶意软件。文件下载中也可能包含额外链接，将用户引导至恶意内容。事实上，最常见的可下载内容类型之一是HTML应用程序（HTA），它们常被用来生成本地钓鱼页面，以隐秘地窃取凭据。最近，攻击者还将SVG文件武器化以达到类似目的，这些文件作为独立的钓鱼页面运行，完全在客户端渲染虚假的登录门户。

即使无法总是通过对文件的表层检查来标记恶意内容，在浏览器中记录文件下载情况也是对基于端点的恶意软件防护的有益补充，并且为抵御那些实施客户端攻击或将用户重定向至恶意网络内容的文件下载提供了另一层防御。

6. 被盗凭证和多因素认证漏洞

最后这一种算不上是基于浏览器的攻击，但它却是这类攻击的产物。当凭证通过钓鱼攻击或信息窃取恶意软件被盗时，它们可被用于接管未启用多因素认证（MFA）的账户。

这并非最复杂的攻击，但效果却非常显著。只需看看去年的Snowflake账户泄露事件，或是今年早些时候的Jira攻击事件，就能明白攻击者是如何大规模利用被盗凭证的。

现代企业使用着数百个应用程序，因此某个应用程序（如果可能的话）未配置强制性多因素认证（MFA）的可能性很高。而且，即使某个应用程序已配置单点登录（SSO）并连接到您的主要企业身份，本地“幽灵登录”仍然可能存在，它们接受密码且无需多因素认证。

登录情况也可以在浏览器中被观察到——事实上，这几乎是最可靠的信息来源，能让你了解员工实际的登录方式、他们使用的应用程序以及是否启用了多因素认证，从而使安全团队能够在攻击者利用这些漏洞之前发现并修复存在风险的登录。

结论

浏览器中的攻击正日益增多。这使得浏览器成为检测和应对这些攻击的理想场所。但目前，对于大多数安全团队来说，浏览器仍是一个盲点。

Push Security的基于浏览器的安全平台提供全面的检测和响应能力，可应对导致数据泄露的主要原因。Push能拦截基于浏览器的攻击，如AiTM钓鱼、凭证填充、密码喷洒以及利用被盗会话令牌进行的会话劫持。你还可以使用Push来发现并修复员工所使用应用中的漏洞，例如幽灵登录、单点登录（SSO）覆盖缺口、多因素认证（MFA）缺口、易受攻击的密码、高风险的OAuth集成等，从而强化你的身份攻击面防护。