Hướng dẫn phân tích extension trình duyệt độc hại với ExtAnalysis

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Hướng dẫn phân tích extension trình duyệt độc hại với ExtAnalysis
Các extension (tiện ích mở rộng) thông thường được tạo ra nhằm mục đích bổ sung các tính năng cho trình duyệt Google Chrome, Mozilla Firefox... ngoài các tính năng có sẵn. Tuy nhiên không phải lúc nào các extension cũng an toàn để sử dụng, do đó việc phân tích chúng sẽ giúp chúng ta phát hiện các hành vi độc hại phía sau. Để phân tích, chúng ta có thể giải nén và đọc code của chúng để hiểu cách hoạt động nhưng để công việc được hiệu quả và nhẹ nhàng hơn chúng ta sẽ dùng đến sự hỗ trợ của công cụ ExtAnalysis được giới thiệu trong bài viết sau.

1652798156116.png


Cài đặt

Để cài đặt chúng ta chạy lần lượt các lệnh sau:

$ git clone https://github.com/Tuhinshubhra/ExtAnalysis

1655300027141.png

$ cd ExtAnalysis

1655300041743.png

$ pip3 install -r requirements.txt

1655300084184.png

Sử dụng

Sau khi cài đặt hoàn tất, để sử dụng chúng ta chạy lệnh:

$ python3 extanalysis.py

Một cửa sổ trình duyệt sẽ được mở ra với giao diện của ExtAnalysis tại địa chỉ 127.0.0.1:13337

1655300103630.png

Để tùy chỉnh các thiết lập chúng ta nhấn vào SETTINGS tại đây có các tùy chọn như sau:

1655300121329.png

Reports Directory: thiết lập thư mục chứa các báo cáo phân tích

Lab Directory: thiết lập thư mục lưu trữ các extension được tải về

VirusTotal API: thiết lập hoặc thay đổi api VirusTotal

Check For Update: kiểm tra cập nhật phiên bản

1655300149421.png
Mục Scan Options chúng ta bật tắt các thông tin muốn trích xuất, sau đó chọn Save Settings để lưu lại.

Phân tích extension với ExtAnalysis

Để tiến hành phân tích chúng ta có thể dùng các cách sau:
  • Tải và phân tích extension từ:
  • Phân tích các extension đã được cài đặt từ trình duyệt:
    • Google Chrome
    • Mozilla Firefox
    • Brave Browser
    • Vivaldi Browser
  • Upload và phân tích các extension với định dạng được hỗ trợ gồm:
    • .crx
    • .xpi
    • .zip
1655300173868.png

Demo

Để demo tôi chọn một extension trên Chrome Webstore tại địa chỉ: https://chrome.google.com/webstore/detail/bulk-onlyfans-downloader/mkgcehccdbbncfnpbncjfmeifpdonnci

Chọn tab Chrome Web Store, sau đó điền link hoặc id extension cần phân tích và ấn Download & Analyze.
1655300192133.png

Sau khi phân tích thành công một pop up thông báo Success hiện ra, chúng ta ấn vào View Analysis để xem kết quả.
1655300205656.png

Tab Basic Info cung cấp thông tin cơ bản liên quan đến: Name, Version, Author, Description… manifest.json

1655300302070.png

Tab Files cung cấp thống kê về các tập tin bên trong extension, thông tin các tập tin và URL được đồ thị hóa trực quan từ đó đưa ra cái nhìn toàn diện cơ chế hoạt động, ngoài ra tại đây chúng ta cũng có thể xem source code các tập tin có trong extension để tiến hành phân tích sâu hơn.


1655300325373.png

Tab Permissions cung cấp thông tin về các quyền mà extension sử dụng

1655300342412.png

Tab URLs & Domains cung cấp các thông tin về domain và url:
  • Whois
  • VT Report
  • GEO-IP Lookup
  • HTTP header
  • URL Source
1655300365031.png

Tab Gathered Intels cung cấp các thông tin:
  • Địa chỉ IPv6 và IPv4
  • Địa chỉ bitcoin
  • Email
  • Các chuỗi base64

1655300384121.png
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
extanalysis extension
Bên trên