ChromeAlone, một framework Command & Control (C2) dựa trên trình duyệt Chromium, đã được tiết lộ tại DEF CON 33 bởi nhà nghiên cứu bảo mật Mike Weber của Praetorian Security. Công cụ này đại diện cho một bước tiến mới trong kỹ thuật khai thác trình duyệt, có khả năng thay thế các implant tấn công truyền thống như Cobalt Strike hay Meterpreter, vốn thường để lại nhiều dấu vết hơn.

Sự Phát Triển của Trình Duyệt và Bề Mặt Tấn Công

Trước đây, các trình duyệt web chủ yếu là các vỏ bọc đơn giản cho các yêu cầu HTTP. Tuy nhiên, theo thời gian, chúng đã phát triển thành các nền tảng phức tạp, giàu tính năng và tinh vi, gần như một hệ điều hành đầy đủ.

Sự tiến hóa này mang lại nhiều tiện lợi cho người dùng, nhưng đồng thời cũng tạo ra một bề mặt tấn công rộng lớn và phức tạp hơn cho các tác nhân độc hại.

ChromeAlone: Khung C2 Dựa Trên Trình Duyệt Tiên Tiến

ChromeAlone là một framework mã nguồn mở được thiết kế để vũ khí hóa sự phức tạp vốn có của trình duyệt. Nó sử dụng các tính năng tích hợp sẵn của Chrome để tái tạo khả năng của một implant Command & Control (C2) truyền thống.

Điểm nổi bật của ChromeAlone là khả năng tàng hình của nó. Công cụ này ẩn mình hoàn toàn trong các tính năng gốc của Chromium, tránh các dấu vết mã độc rõ ràng mà các giải pháp Endpoint Detection & Response (EDR) thường tìm kiếm.

Cơ Chế Vận Hành Tàng Hình của ChromeAlone

ChromeAlone nạp các thành phần độc hại vào trình duyệt thông qua “sideloading” mà không yêu cầu tương tác của người dùng. Kỹ thuật này tận dụng một số tính năng cốt lõi của Chromium:

• Extensions (Phần mở rộng): Triển khai mã độc dưới dạng tiện ích mở rộng hợp pháp.
• Developer Tools (Công cụ nhà phát triển): Sử dụng các khả năng của DevTools để thực thi lệnh.
• Chrome DevTools Protocol (CDP): Giao thức cho phép kiểm soát và gỡ lỗi trình duyệt từ xa.
• Service Workers: Các tập lệnh chạy ngầm trong trình duyệt, có thể chặn và sửa đổi yêu cầu mạng.

Kết quả là một implant có năng lực cao, hoạt động tàng hình, hòa lẫn vào các hoạt động trình duyệt hợp pháp. Điều này đặt ra thách thức lớn cho các hệ thống chống vi-rút và EDR truyền thống, vốn thường tập trung vào các tệp thực thi thay vì các tiện ích mở rộng hoặc quy trình nội bộ của trình duyệt khi phát hiện khai thác trình duyệt.

Khả Năng của ChromeAlone Implants

Theo kho lưu trữ của dự án, các implant của ChromeAlone có thể thực hiện nhiều tác vụ tấn công nâng cao, mở rộng phạm vi của các chiến dịch khai thác trình duyệt:

• Chụp ảnh màn hình (Screenshots).
• Ghi lại các tổ hợp phím (Keylogging).
• Thực thi mã tùy ý (Arbitrary Code Execution) trong ngữ cảnh của trình duyệt.
• Thiết lập proxy SOCKS (SOCKS Proxy) để định tuyến lưu lượng truy cập qua trình duyệt bị nhiễm.

Quy Trình Triển Khai ChromeAlone

Mặc dù ChromeAlone được phát hành cho mục đích nghiên cứu và thử nghiệm được ủy quyền, tài liệu README của nó trình bày chi tiết một quy trình triển khai đầy đủ. Dưới đây là hướng dẫn triển khai:

Các Chế Độ Triển Khai

ChromeAlone hỗ trợ hai chế độ triển khai chính:

• Local Deployment (Triển khai cục bộ): Sử dụng Docker hoặc Podman để cài đặt và chạy cục bộ.
• Remote Deployment (Triển khai từ xa): Sử dụng Terraform để triển khai cơ sở hạ tầng trên đám mây.

Yêu Cầu Hệ Thống

Để triển khai và vận hành ChromeAlone, cần có các công cụ và môi trường sau:

• Docker hoặc Podman (cho triển khai cục bộ).
• Terraform (cho triển khai từ xa trên đám mây).
• Python 3 với các thư viện cần thiết.

Lệnh Triển Khai Hệ Thống C2

Để bắt đầu quá trình triển khai, sử dụng lệnh sau:

python3 -m cschrome.cli deploy --cloud=aws --region=us-east-1 --bucket=mybucket --domain=sub.domain.com [email protected]

Lệnh này sẽ tạo ra các tệp cấu hình cần thiết, bao gồm terraform.tfvars và config.json.

Nếu đã có một máy chủ được triển khai, có thể cập nhật các thành phần sideloaders và extension độc hại mà không cần triển khai lại toàn bộ cơ sở hạ tầng bằng cách trỏ ChromeAlone đến tệp terraform.tfvars hiện có:

python3 -m cschrome.cli build --terraform-vars=path/to/terraform.tfvars

Lệnh này sẽ tạo lại các sideloaders và extension độc hại mới nhất.

Sideloading Implant vào Mục Tiêu

Sau khi hệ thống C2 đã sẵn sàng, sao chép tệp sideloader.ps1 lên máy mục tiêu và chạy nó bằng PowerShell. Quá trình này thường mất khoảng 20-30 giây để hoàn tất.

./sideloader.ps1 -config_path C:pathtoconfig.json -install_dir C:ProgramDataChromeAlone

Các cờ tùy chọn có thể được sử dụng để tùy chỉnh quá trình cài đặt:

• -config_path <đường dẫn>: Chỉ định đường dẫn đến tệp cấu hình.
• -install_dir <đường dẫn>: Chỉ định thư mục cài đặt implant.

Truy Cập Giao Diện Điều Khiển Battleplan

Sau khi implant được triển khai thành công trên mục tiêu, nhà vận hành có thể truy cập giao diện điều khiển Battleplan. Đây là một ứng dụng web được cấu hình sẵn để kết nối với máy chủ relay của ChromeAlone. Địa chỉ mặc định để truy cập là:

http://localhost:8080/battleplan

Từ giao diện này, các nhà vận hành có thể thực hiện các thao tác sau:

• Xem thông tin chi tiết về các tác nhân (agents) bị nhiễm.
• Thực thi các lệnh trên máy chủ mục tiêu.
• Quản lý các kết nối SOCKS proxy từ mỗi host bị nhiễm.

Mỗi host bị nhiễm sẽ có một cổng SOCKS duy nhất hiển thị trong bảng “Agent Information”, cho phép định tuyến lưu lượng cụ thể qua trình duyệt bị kiểm soát. Ví dụ: một cổng SOCKS có thể là localhost:8081.

Cấu Trúc Thành Phần của ChromeAlone Framework

Kho lưu trữ của ChromeAlone được chia thành các thành phần chuyên biệt, mỗi phần đóng vai trò quan trọng trong việc xây dựng một framework C2 toàn diện và hiệu quả:

• FrontEnd: Giao diện người dùng Battleplan cho nhà vận hành.
• Agent (Service Worker): Thành phần chạy trên trình duyệt mục tiêu, thực hiện các lệnh.
• Attack Proxy: Xử lý các yêu cầu mạng và chuyển tiếp chúng.
• Listener: Nghe các kết nối đến từ các tác nhân.
• Management API: Cung cấp giao diện lập trình để quản lý framework.
• Relay Server: Máy chủ trung gian để kết nối giữa các tác nhân và máy chủ C2.

Ý Nghĩa Đối Với Red Team và Defender

Đối với các chuyên gia Red Team, ChromeAlone mang lại sự tàng hình và linh hoạt vượt trội trong các chiến dịch kiểm thử xâm nhập sử dụng khai thác trình duyệt. Khả năng hòa lẫn vào hoạt động trình duyệt hợp pháp giúp họ duy trì sự hiện diện trên hệ thống mục tiêu mà không bị phát hiện dễ dàng.

Tuy nhiên, đối với các nhà phòng thủ, công cụ này là một lời nhắc nhở quan trọng về một vector xâm nhập mới và ngày càng phổ biến: chính trình duyệt web, một vector chính của các kỹ thuật khai thác trình duyệt. Công cụ này là một ví dụ điển hình về việc khai thác trình duyệt đang trở thành trọng tâm của các cuộc tấn công tinh vi.

Kiến Nghị Phòng Thủ

Để đối phó với các mối đe dọa sử dụng kỹ thuật khai thác trình duyệt như ChromeAlone, các nhà phòng thủ cần xem xét kỹ lưỡng các biện pháp bảo mật mạng hiện có và tăng cường giám sát các hoạt động liên quan đến trình duyệt:

• Tăng cường Giám sát Trình duyệt: Đặc biệt chú ý đến các tiện ích mở rộng trình duyệt không rõ nguồn gốc hoặc bất thường.
• Giám sát Quy trình Nội bộ Trình duyệt: Triển khai các giải pháp EDR có khả năng giám sát sâu các quy trình con và hoạt động nội bộ của trình duyệt.
• Phân tích Lưu lượng Mạng: Theo dõi lưu lượng mạng bất thường xuất phát từ các trình duyệt, đặc biệt là các kết nối đến các địa chỉ IP hoặc miền không xác định.
• Cập nhật Trình duyệt Thường xuyên: Đảm bảo rằng tất cả các trình duyệt và hệ thống đều được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng tiềm ẩn.
• Đào tạo Người dùng: Nâng cao nhận thức về các mối nguy hiểm của việc cài đặt tiện ích mở rộng từ nguồn không đáng tin cậy.

Để biết thêm chi tiết kỹ thuật về ChromeAlone và khám phá mã nguồn của dự án, bạn có thể truy cập kho lưu trữ GitHub chính thức: https://github.com/mandatoryprogrammer/CursedChrome