悪意のある拡張機能の進化：アマチュアクラフトからステガノグラフィまで。 Yandex.Browserチームの経験

拡張機能は、ブラウザに新機能を追加するための優れたツールです。 そして彼らの助けを借りて、彼らは密かに広告を埋め込み、データを盗み、スパムを送り、さらには暗号通貨を掘り起こします。 本日、このような拡張機能を扱った経験をお伝えします。疑わしい開発の主な流通チャネルと、モデレーターやスキャナーから悪意のあるエンティティを隠す方法について学びます。







Yandex.Browserは当初Chromiumの拡張機能のインストールをサポートしていましたが、最初はアドオン獲得業界はまだ初期段階にあったため、特別な問題はありませんでした。 もちろん、悪意のあるサンプルが見つかりました。私たちはそれらを手動で発見するか、サポートコールからそれらについて学びました。 そのような開発の一意の識別子（ID）はサーバー上でブラックリストに登録され、Yandex.BrowserはAPIを介してアクセスし、潜在的に危険な拡張機能のインストールをブロックしました。 さらに、拡張機能自体がマスクされることはほとんどありませんでした。ほとんどすべての機能は、HTMLやJSで何も隠さずに明示的に記述されていました。 しかし、その後、すべてが変わりました。



Chromiumの人気の急速な成長と、ユーザーからの確認なしに拡張機能を自動的にインストールする機能は、残酷な冗談を演じました。 危険なアドオンの開発者は、Webストアで公開して作成を促進する必要さえありませんでした。 拡張機能を、便利なユーティリティ、人気のあるゲーム、または映画館にまで届かなかった新しい映画として偽装するだけで十分でした。 ユーザー自身がexeファイルを見つけてダウンロードし、起動しました。これにより、ブラウザプロファイルにcrx拡張機能が追加されました。 これについてどうやって知りましたか？ 非常に簡単：サポートコールの約3分の1には、ブラウザのお気に入りのサイトに表示される低品質で衝撃的な広告に関する苦情が含まれるようになりました。



一部の人々はYouTubeのように見え始めました。 これは新しいスクリーンショットですが、数年で症状はほとんど変わりません。 ここにある外国人広告ユニットの数を計算します。











影響を受けたユーザーのほとんどは、拡張機能について何も知らなかったため、私たちを非難し、Yandex.Browserを削除しました。 穏やかな時間が終わりました。



ブラックリストからハッシュへ



すぐに、脅威の成長を遅らせる機会が見つかりました。 まず、文書化されたChromiumメカニズムのサポートを無効にして、拡張機能が貧弱な開発者の作業を簡素化しました。 ブラウザーの通常バージョンでは、レジストリキーを使用して拡張機能をインストールする機能を制限し、企業ポリシーの使用を禁止しました。これは、ユーザーが拡張機能を削除できないようにしたため、malvari開発者に特に人気がありました。







また、新しい脅威に対処するための「本部」を作成しました。ブラウザのユーザー間で配信される拡張機能に関するリアルタイムの情報を受け取り、不審な拡張機能をすばやくチェックしてIDでブロックします。 そしてしばらくの間、これは問題を解決しました。



簡単なお金の愛好家は、便利なインストール方法と時間の利点を失い、緊張し、反撃しました。 Windowsオペレーティングシステムでは、すべてのアプリケーションが、Yandex.Browserに対して使用し始めた他のアプリケーションの動作に干渉する可能性があります。 疑わしいプログラムは、拡張機能をブラウザープロファイルフォルダーに直接ドロップし、設定ファイルに変更を加えることを学びました。 しかし、これは最も興味深いものではありません。



トリックスターは、このような拡張機能について非常に迅速に学習することに気づいたため、IDのブロックを防ぐためのシンプルだが効果的な方法を見つけました。 人気のある拡張機能と同じIDを使用し始めたばかりです。 たとえば、識別子がpioclpoplcdbaefihamjohnefbikjilcである不正な拡張機能を無効にすることはできません。これは、優れたEvernote Web Clipperが機能しなくなるためです。 ずるい。 その結果、この打撃を撃退しましたが、費用はかかります。



ソリューションは、インストールされた拡張機能のハッシュとStoraの元の拡張機能のハッシュを比較することで見つかりました。 一致しない場合、フォルダを安全なコピーで上書きします。 問題は、Storeで公開されたアドオンに対してのみメソッドが機能したことです。 残りはすべて比較するものがありません。 そのため、2014年には、Webストア、Operaアドオン、独自のカタログなど、信頼できるソースからのみ拡張機能をインストールできました。 このソリューションにより、悪意のある拡張機能の大部分をStorに送り込むことができました。期待どおり、厳しいルールと節度により、その数は過去最低になりました。 しかし、私たちは間違っていました。



5ドル。 Webストアディレクトリで開発者アカウントを取得するのにかかる費用です。 しかし、バリケードの反対側の専門家は、アカウントと疑わしい拡張機能のクローンの生成にお金を費やすことをいとわない。 そして、彼らはユーザーのソースのみを見つけることができます。 そして、そのような方法がいくつかあります。



擬態



一般的な拡張機能から名前、デザイン、さらにはコードをコピーして、Webストアの検索結果にアクセスできます。 残念ながら、この方法は、カタログに事前調整機能がないため成功しています。 たとえば、最近、偽のAd​​Block Plusのケースがあり、37000人のユーザーがインストールされました。 この投稿がTwitterに登場する頃には、すでにブラウザでブロックされていました。 それだけではありません。 メディアは1件について書いたが、実際には約10個の偽の広告ブロッカーがあった。 彼らは比較的控えめに振る舞いました。彼らはおそらく何も盗みませんでしたが、予想外に広告でタブを開きました。 たとえば、アドバタイズされたサービスとアプリケーションにリダイレクトするアドレスsettingsbrowser.onlineを持つタブ。







サードパーティの配布



一般的なユーティリティを使用して再パッケージ化し、インストーラーがユーティリティ自体をインストールするだけでなく、プロファイルフォルダーに拡張機能をスローするようにします。 次に、ユーザーがスパムを介して取得する偽の公式サイトを作成します。 今では非常に少ない人が気にしますが。 無料の収益化アプリケーションの開発者が接続するアフィリエイトプログラムの1つを使用する方がはるかに簡単です。 通常、この方法は、ブラウザーユーザー間のアドオンの速度によって容易に認識されます。



悪意のある機能を持つ役に立たない拡張機能を無効にしていることを理解する別の方法があります。ユーザーも開発者も苦情を寄せることはほとんどありません。 ただし、一部の人は注意を払い、Yandex.Browserの例外をコードに追加しようとします。 このように動作します。 ユーザーがYandex.Browserを持っている場合、Google Chromeユーザーとは異なり、彼は悪い驚きを受け取りません。 これは他のChromiumベースのブラウザの問題のように見えますが、そうではありません。 このような動作はデマであると見なし、ロックを解除しません。







インラインインストール



どのサイトでも、Chrome Web Storeで公開されている公式の拡張機能を配布する機会があります。 ポップアップパネルのボタンをクリックするだけで、アドオンがブラウザに表示されます。 クリックするように人を説得するだけです。 たとえば、サイトはフルスクリーンモードに移行し、ブラウザロックをシミュレートできます。ブラウザロックは、拡張機能（ ライブの例 ）を使用してのみ削除できます。







または、昨年Botconf 2016で同僚が話した別の実際の例を考えてみましょう 。しかし、流行は今日まで続いています（ブロックしたクローンは何十もあります）。



Facebookユーザーは、ビデオへのリンクを含むプライベートメッセージを友人から受信します。







リンクをクリックすると、ファイルを保存するための信頼できる無料サービスに基づいて作成されたページが開きます（ 例 、 別の例 ）。ビデオの代わりに通常のスクリーンショットがあります。







これは、Facebook上のスパムと、「拡張機能」が提供されているサイトまたは他の広告が配置されているサイトとの間のレイヤーです。 次の理由で必要です。 第一に、ソーシャルネットワークとウイルス対策は、権限のあるドメイン上のすべてのアドレスをマスクしません。 第二に、無料のサービスでページを生成することは、新しいサイトを登録して拡張機能にリンクするよりも簡単で高速です。 第三に、このようなリンクは安全に見えるため、ユーザーがクリックする可能性が高くなります。



ユーザーは偽のスクリーンショットをクリックし、YouTubeの外観を模倣し、ブログサービスに基づいたサイトにアクセスします。 ビデオを開始しようとすると、拡張機能をインストールするように求められます。



重要な明確化：現時点では、docs.google.comのページは指定されたサイトではなく、別の広告にリダイレクトする場合があります。これは、拡張機能がカタログでブロックされたばかりで、作成者が新しいサイト拡張リンクの作成に時間を費やす必要があるためです このファミリの50個を超える拡張機能は既に無効になっていますが、引き続き表示されます。







人が同意すれば、彼は意志に反してFacebookでスパムの送信元になります。



さらに、このファミリーの拡張機能は自分自身を保護することができます。 レビューに注意してください：







これは、拡張機能がchrome：//拡張機能サービスページをChromiumで開くことを許可しないという事実を指します（即座に閉じます）。 通常、このページを使用して拡張機能のリストを確認し、疑わしい拡張機能を削除することをお勧めします。 かつてこのようなトリックにも遭遇したため、Yandex.Browserでブラウザーは次のようになりました。//チューニングページは拡張機能から分離されています。



アフィリエイトプログラム



独自の拡張機能、ページ、スパムを作成することはできませんが、既製の人気のある拡張機能を購入し、驚きで新しいバージョンを展開するだけです（ユーザーは新しいバージョンの販売やリリースについて知りません）。 または、お金と引き換えにスクリプトを拡張機能に追加する開発者向けのアフィリエイトプログラムを作成することもできます。 病院では、パートナーは平均して1,500ユーザーごとに1日あたり100ルーブルを獲得します。 アフィリエイトプログラムを見つけることは難しくありません。 ちなみに、そのようなプログラムのフォーラムでそのようなコメントを読むのはとてもいいことです。 働くのも不思議ではありません;）







アフィリエイトプログラムの所有者は、ライブラリを提供するだけでなく、既成の拡張機能を作成する準備ができています。 パートナーが必要とするのは、トラフィックの公開と検索のみです。



ご存知のように、私はあらゆる投資を打ち負かしたいので、疑わしいスクリプトの開発者は量だけでなく「品質」にも取り組んでいます。「品質」とは、モデレーターや自動スキャナーから本質を隠す能力を意味します。 証拠を見つけるのが困難であればあるほど、エクステンションはより長く機能し、より多くのお金をもたらします。 そして、この分野では数年にわたって大きな飛躍が起こっています。



連結からステガノグラフィーへ



意図的に危険なコードが別々の文字の断片に分割されたとき、それはすべて原始的な連結から始まりました。 スクリーンショットのように。 単純に、最初の発明者が助けたかもしれません。







難読化についても言う必要があります。 難読化によりロジックをマスクできるという神話がありますが、それはまったく逆に機能します。 現実には、これは最も平凡なマスキング方法です。なぜなら、それはほとんどすべての人の注意を引き付けるからです。アンチウイルスはそれを誓い、ユーザーは怖がり、モデレーターはそもそもそのような拡張子をチェックします。 できるだけ早くStoraから追い出されたいですか？ コードの難読化を使用します。



まともなコードの外観を維持しながら、悪意のある部分を異なるモジュールに分散し、トレースを混乱させ、localStorageを使用して自分自身と通信する人ははるかに賢明です。 一部の部品は、外部サーバーからロードすることもできます。 また、すべての国（米国のどこかでモデレーターの注意を引くことはロシアよりも簡単です）、すべてのブラウザー（上記の例のようにYandex.Browserの例外）、拡張の最初の日（難しくするため）ではありません手動チェック）。



今年の4月、疑わしい拡張機能の開発者の間で新しいmodが登場し始めました。 この写真を見てください：







圧縮アーチファクト以外に何か異常なことに気づきましたか？ 次に、この図を含む拡張機能の操作についてデバッガーを調べてみましょう。







拡張機能は、画像からコードの一部を抽出します。 この手法は「ステガノグラフィ」と呼ばれ、Windowsのウイルスでよく知られていますが、春になって初めて拡張されました。 現在、このメソッドは上記のすべてと組み合わされており、数十の拡張機能（ 71,000ユーザー 、 11,000ユーザー ）で使用されています 。 私たちの評価によると、これらの拡張機能はすべて、1人の作成者からのスクリプトを使用しています。 もちろん、目と手だけに頼っていないため、これらの拡張機能をキャッチして無効にします。



機械学習



疑わしい拡張機能を特定して無効にするための半自動プロセスを確立することができました。 次のように機能します。 新しい拡張機能が表示され、Yandex.Browserへのインストールが開始されるとすぐに、サーバーの分析プロセスが開始されます。 既知の不良サンプルを常にトレーニングするマシンを使用して、新しいサンプルの危険度を評価します。 明示的な不正使用は自動的にブロックされます。 疑わしい場合は、手動で制御します。



パスワードを盗んだり、フィッシングページにリダイレクトしたり、ページに広告を密かに変更/追加したりするデザインだけでなく、キャッチすることも学びました。 また、ページ上のリンク（アフィリエイトプログラムでの収益を含む）を密かに置き換える拡張機能や、広告サイトで予期せず開いているタブも見逃しません。 ユーザーが明示的な同意を与えていない場合、暗号通貨マイニングを承認しません。 ユーザーのクリックやその他の操作を模倣することは禁止されています（たとえば、いいねをしたり、ソーシャルネットワークでスパムを送信したりするため）。



明らかな理由により、スキャナーの動作の詳細と機械学習で使用される要因を開示することはできません（疑わしいスクリプトの才能ある開発者に挨拶を送ります）。 このプロセスのおかげで、ほとんどの悪意のあるアドオンは、Yandex.Browserで有効になってから1〜3日後に無効になります。 これらは、1か月あたり100以上の固有の拡張機能であり、数万人の保護されたユーザーです。



次は？



これがどんなに驚くかもしれませんが、RuNetでは、ユーザーとブラウザを欺く新しい方法を導入し始め、それがさらに「エクスポート」されます。 今、私たちはアマチュアではなく、遅かれ早かれ私たちを驚かせる別の方法を見つける危険な拡張機能のクリエーターとディストリビューターの業界全体に直面しています。 私たちはそれらに答えるための何かを見つけると信じていますが、理想的な保護はありません。したがって、まだ無効にしていない悪意のある拡張機能が常に存在します。 そして、ここではコミュニティ全体の助けが私たちに役立ちます。 同様の開発に出くわした場合は、安全に情報をチームに送信できます（ サポートを通じて、およびHabréで個人的に）。 また、ユーザーを不快な驚きから保護するのに役立つアイデアや情報にも感謝します。