-
06/07/2013
-
797
-
1.308 bài viết
Hướng dẫn phân tích extension trình duyệt độc hại với ExtAnalysis
Các extension (tiện ích mở rộng) thông thường được tạo ra nhằm mục đích bổ sung các tính năng cho trình duyệt Google Chrome, Mozilla Firefox... ngoài các tính năng có sẵn. Tuy nhiên không phải lúc nào các extension cũng an toàn để sử dụng, do đó việc phân tích chúng sẽ giúp chúng ta phát hiện các hành vi độc hại phía sau. Để phân tích, chúng ta có thể giải nén và đọc code của chúng để hiểu cách hoạt động nhưng để công việc được hiệu quả và nhẹ nhàng hơn chúng ta sẽ dùng đến sự hỗ trợ của công cụ ExtAnalysis được giới thiệu trong bài viết sau.
Cài đặt
Để cài đặt chúng ta chạy lần lượt các lệnh sau:
Sử dụng
Sau khi cài đặt hoàn tất, để sử dụng chúng ta chạy lệnh:
Một cửa sổ trình duyệt sẽ được mở ra với giao diện của ExtAnalysis tại địa chỉ 127.0.0.1:13337
Để tùy chỉnh các thiết lập chúng ta nhấn vào SETTINGS tại đây có các tùy chọn như sau:
Reports Directory: thiết lập thư mục chứa các báo cáo phân tích
Lab Directory: thiết lập thư mục lưu trữ các extension được tải về
VirusTotal API: thiết lập hoặc thay đổi api VirusTotal
Check For Update: kiểm tra cập nhật phiên bản
Mục Scan Options chúng ta bật tắt các thông tin muốn trích xuất, sau đó chọn Save Settings để lưu lại.
Phân tích extension với ExtAnalysis
Để tiến hành phân tích chúng ta có thể dùng các cách sau:
Demo
Để demo tôi chọn một extension trên Chrome Webstore tại địa chỉ: https://chrome.google.com/webstore/detail/bulk-onlyfans-downloader/mkgcehccdbbncfnpbncjfmeifpdonnci
Chọn tab Chrome Web Store, sau đó điền link hoặc id extension cần phân tích và ấn Download & Analyze.
Sau khi phân tích thành công một pop up thông báo Success hiện ra, chúng ta ấn vào View Analysis để xem kết quả.
Tab Basic Info cung cấp thông tin cơ bản liên quan đến: Name, Version, Author, Description… manifest.json
Tab Files cung cấp thống kê về các tập tin bên trong extension, thông tin các tập tin và URL được đồ thị hóa trực quan từ đó đưa ra cái nhìn toàn diện cơ chế hoạt động, ngoài ra tại đây chúng ta cũng có thể xem source code các tập tin có trong extension để tiến hành phân tích sâu hơn.
Tab Permissions cung cấp thông tin về các quyền mà extension sử dụng
Tab URLs & Domains cung cấp các thông tin về domain và url:
Tab Gathered Intels cung cấp các thông tin:
Cài đặt
Để cài đặt chúng ta chạy lần lượt các lệnh sau:
$ git clone https://github.com/Tuhinshubhra/ExtAnalysis
$ cd ExtAnalysis
$ pip3 install -r requirements.txt
Sử dụng
Sau khi cài đặt hoàn tất, để sử dụng chúng ta chạy lệnh:
$ python3 extanalysis.py
Một cửa sổ trình duyệt sẽ được mở ra với giao diện của ExtAnalysis tại địa chỉ 127.0.0.1:13337
Để tùy chỉnh các thiết lập chúng ta nhấn vào SETTINGS tại đây có các tùy chọn như sau:
Reports Directory: thiết lập thư mục chứa các báo cáo phân tích
Lab Directory: thiết lập thư mục lưu trữ các extension được tải về
VirusTotal API: thiết lập hoặc thay đổi api VirusTotal
Check For Update: kiểm tra cập nhật phiên bản
Phân tích extension với ExtAnalysis
Để tiến hành phân tích chúng ta có thể dùng các cách sau:
- Tải và phân tích extension từ:
- Phân tích các extension đã được cài đặt từ trình duyệt:
- Google Chrome
- Mozilla Firefox
- Brave Browser
- Vivaldi Browser
- Upload và phân tích các extension với định dạng được hỗ trợ gồm:
- .crx
- .xpi
- .zip
Demo
Để demo tôi chọn một extension trên Chrome Webstore tại địa chỉ: https://chrome.google.com/webstore/detail/bulk-onlyfans-downloader/mkgcehccdbbncfnpbncjfmeifpdonnci
Chọn tab Chrome Web Store, sau đó điền link hoặc id extension cần phân tích và ấn Download & Analyze.
Sau khi phân tích thành công một pop up thông báo Success hiện ra, chúng ta ấn vào View Analysis để xem kết quả.
Tab Basic Info cung cấp thông tin cơ bản liên quan đến: Name, Version, Author, Description… manifest.json
Tab Files cung cấp thống kê về các tập tin bên trong extension, thông tin các tập tin và URL được đồ thị hóa trực quan từ đó đưa ra cái nhìn toàn diện cơ chế hoạt động, ngoài ra tại đây chúng ta cũng có thể xem source code các tập tin có trong extension để tiến hành phân tích sâu hơn.
Tab Permissions cung cấp thông tin về các quyền mà extension sử dụng
Tab URLs & Domains cung cấp các thông tin về domain và url:
- Whois
- VT Report
- GEO-IP Lookup
- HTTP header
- URL Source
Tab Gathered Intels cung cấp các thông tin:
- Địa chỉ IPv6 và IPv4
- Địa chỉ bitcoin
- Các chuỗi base64
Chỉnh sửa lần cuối: