t1176-software-extensions

# T1176 - Software Extensions ## Descrição **Software Extensions** é uma técnica de persistência na qual adversários abusam de extensões de software - componentes modulares que ampliam ou personalizam a funcionalidade de aplicações - para manter acesso persistente em sistemas comprometidos. O vetor é particularmente atraente porque extensões herdam as permissões do aplicativo hospedeiro, integram-se naturalmente ao fluxo de trabalho do usuário e, com frequência, passam despercebidas por soluções de segurança tradicionais. Extensões maliciosas podem ser introduzidas por meio de engenharia social, marketplaces comprometidos, instalação direta por adversários com acesso prévio ao sistema ou disfarçadas como extensões legítimas com nomes e ícones similares a componentes benignos. A técnica abrange dois vetores principais cobertos pelas sub-técnicas: extensões de navegadores (browsers) e extensões de ambientes de desenvolvimento integrado (IDEs). A confiança implícita que sistemas operacionais e aplicativos depositam em componentes registrados é o fator central que torna essa técnica eficaz. Ao contrário de malware tradicional que precisa burlar mecanismos de proteção do SO, extensões são reconhecidas como parte legítima da arquitetura do software hospedeiro - carregadas automaticamente, executadas em contexto confiável e raramente inspecionadas por ferramentas de segurança de endpoint. ## Como Funciona O ciclo de vida de uma extensão maliciosa começa com a escolha do vetor de entrega. Adversários podem públicar extensões em repositórios oficiais com nomes similares a ferramentas populares (typosquatting) e aguardar instalações orgânicas, ou direcionar vítimas específicas por meio de campanhas de [[t1566-phishing|phishing]]. Em intrusões já estabelecidas, a extensão pode ser instalada silenciosamente via linha de comando sem interação do usuário. Uma vez instalada, a extensão é carregada automaticamente pelo aplicativo hospedeiro em cada inicialização, herdando suas permissões e tendo acesso ao contexto de execução - dados de sessão, credenciais em memória, tráfego de rede, conteúdo renderizado e, em alguns casos, sistema de arquivos e APIs do SO. A comunicação de comando e controle é frequentemente camuflada como tráfego legítimo do aplicativo, dificultando a detecção por inspeção de rede. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao sistema] --> B{Método de entrega} B -->|Engenharia Social| C[Usuário instala extensão maliciosa] B -->|Marketplace comprometido| D[Extensão aprovada e distribuída] B -->|Acesso direto ao endpoint| E[Adversário instala via CLI] C --> F[Extensão carregada pelo app hospedeiro] D --> F E --> F F --> G[Herda permissões e contexto do app] G --> H{Objetivo do adversário} H -->|Espionagem| I[Captura dados, keylogging, screenshots] H -->|Comando e Controle| J[Túnel C2 encoberto via tráfego do app] H -->|Persistência| K[Sobrevive a reboots e atualizações do app] H -->|Exfiltração| L[Vazamento de dados via canais legítimos] ``` ## Sub-técnicas | Sub-técnica | Plataformas | Descrição | |-------------|------------|-----------| | [[t1176-001-browser-extensions\|T1176.001 - Browser Extensions]] | Linux, macOS, Windows | Abuso de extensões de navegadores (Chrome, Firefox, Edge) para captura de credenciais, interceptação de tráfego e persistência persistente entre sessões | | [[t1176-002-ide-extensions\|T1176.002 - IDE Extensions]] | Linux, macOS, Windows | Abuso de extensões de IDEs (VS Code, JetBrains) para espionagem de código-fonte, exfiltração de segredos e comprometimento de supply chain de software | ## Exemplos de Uso **APT29 (Cozy Bear)** utilizou extensões maliciosas de navegador em campanhas de espionagem contra organizações governamentais e think tanks ocidentais. As extensões foram distribuídas via engenharia social dirigida, frequentemente acompanhando documentos de phishing que solicitavam ao usuário a instalação de um "plug-in necessário" para visualizar o conteúdo. **Kimsuky**, grupo norte-coreano com histórico de operações de espionagem contra alvos sul-coreanos e internacionais, empregou extensões maliciosas para Chrome como mecanismo de persistência em campanhas contra organizações de pesquisa e entidades governamentais. As extensões coletavam cookies de sessão de webmails e portais corporativos, enviando-os para infraestrutura de C2 controlada pelo grupo. Grupos de crime financeiro também exploram extensões de navegador para interceptar sessões bancárias online - uma tática particularmente relevante no contexto brasileiro, dado o alto volume de transações via internet banking. Nesses casos, as extensões modificam páginas web em tempo real para capturar credenciais ou manipular transferências sem conhecimento do usuário. ## Detecção ```yaml title: Detecção de Extensão de Navegador Instalada Lateralmente status: experimental logsource: category: file_event product: windows detection: selection_chrome: TargetFilename|contains: - '\AppData\Local\Google\Chrome\User Data\Default\Extensions\' - '\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\' selection_firefox: TargetFilename|contains: - '\AppData\Roaming\Mozilla\Firefox\Profiles\' TargetFilename|endswith: '.xpi' filter_legit_process: Image|endswith: - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' condition: (selection_chrome or selection_firefox) and not filter_legit_process level: high tags: - attack.persistence - attack.t1176 - attack.t1176.001 ``` Indicadores comportamentais adicionais a monitorar: - Extensão instalada sem ação explícita do usuário (processo pai inesperado) - Extensão com permissões excessivas para a função declarada (acesso a todas as URLs, leitura de clipboard) - Comúnicação de rede iniciada por extensão para endpoints não relacionados ao propósito anunciado - Chaves de registro de extensão criadas fora dos instaladores padrão dos browsers - Extensões em modo "desenvolvedor" ativado em ambiente corporativo ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1033 | [[m1033-limit-software-installation\|M1033 - Limit Software Installation]] | Restringir instalação de extensões a fontes aprovadas via política de grupo (GPO) ou MDM; bloquear sideloading em browsers corporativos | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente extensões instaladas em endpoints gerenciados; comparar com inventário aprovado e alertar em discrepâncias | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para identificar solicitações suspeitas de instalação de extensões e nunca instalar componentes não solicitados por TI | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter aplicativos e extensões atualizados para reduzir superfície de exploração via vulnerabilidades conhecidas em extensões | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Bloquear carregamento de extensões não assinadas ou fora de allowlist corporativa; usar Enterprise Policies para Chrome e Firefox | ## Contexto Brasil/LATAM O Brasil concentra um dos maiores volumes de transações bancárias online do mundo, o que torna extensões maliciosas de navegador um vetor de risco elevado para o setor financeiro e para usuários corporativos que acessam portais de internet banking. Grupos de crime financeiro - incluindo algumas das famosas gangues de banking trojans brasileiras - integraram abuso de extensões de browser em seus arsenais como forma de persistência e interceptação de sessões bancárias. No contexto de espionagem, a técnica é relevante para organizações governamentais, entidades de pesquisa e empresas de setores estratégicos como energia e telecomúnicações, que são alvos de grupos como [[g0016-apt29|APT29]] e [[g0094-kimsuky|Kimsuky]] com histórico de operações na América Latina. A adoção crescente de IDEs baseados em VS Code em equipes de desenvolvimento de software torna a sub-técnica [[t1176-002-ide-extensions|T1176.002]] especialmente preocupante para o risco de comprometimento de supply chain de software produzido no Brasil. Equipes de segurança devem priorizar a implementação de políticas de extensões via MDM e a auditoria periódica em endpoints de desenvolvedores e usuários com acesso a sistemas financeiros ou dados sensíveis. ## Referências - [[t1176-001-browser-extensions|T1176.001 - Browser Extensions]] - [[t1176-002-ide-extensions|T1176.002 - IDE Extensions]] - [[g0016-apt29|APT29]] - [[g0094-kimsuky|Kimsuky]] - [[m1033-limit-software-installation|M1033 - Limit Software Installation]] - [[m1047-audit|M1047 - Audit]] - [[m1038-execution-prevention|M1038 - Execution Prevention]] - [[t1566-phishing|T1566 - Phishing]] *Fonte: MITRE ATT&CK - T1176, versão 16.2*