文章总结: 本文复盘了恶意浏览器插件窃密与远控靶场的实战排查全流程。通过火绒剑定位异常外联的宿主进程,利用HackBrowserData提取下载记录锁定初始感染源,结合代码审计剖析插件窃密逻辑与钓鱼诱饵,最终通过沙箱提取C2地址。完整还原了从伪造博客诱导安装插件到后台窃密并下发远控木马的攻击链。防御上建议限制第三方插件安装、强化ServiceWorker及API调用监控,并实施网络出口白名单机制。 综合评分: 85 文章分类: 应急响应,CTF,代码审计,WEB安全
├── content.js # 内容脚本(注入到目标网页,负责劫持页面、窃取存储和键盘记录)
└── background.js # 后台服务脚本(负责持久化运行、窃取隐私数据、截屏及接收远端指令)
</code></pre>
<p><strong>关键文件审计</strong>:</p>
<ol>
<li><strong>manifest.json</strong>: 该文件声明了极高的权限(如读取所有网站数据、Cookie、历史记录、地理位置等),并指定 content.js 仅在匹配<code>//*.solarsecurity.cn/</code>时运行,暴露出明显的针对性攻击意图。</li>
<li><strong>content.js(核心攻击载荷片段)</strong>: 当用户访问目标网站时,该脚本会立刻停止原页面加载,并通过<code>iframe</code>注入伪造的钓鱼页面,同时启动键盘记录器(Keylogger)和本地存储窃取。</li>
</ol>
<pre><code>const FAKE_SITE_URL = )
通过上述代码审计,可以明确该组件在静默获取受害者公网 IP 时,调用了外部接口https://api.ipify.org?format=json。
预期答案:flag{https://api.ipify.org?format=json}
任务六:致命诱饵
通过深入分析发现,该恶意组件不仅窃密,还会向受害者下发欺骗性的伪造弹窗。请找出受害者点击弹窗后,被重定向去下载后续恶意负载(远控木马)的钓鱼网站完整URL。
分析与排查:
在 Windows 操作系统中,所谓的“弹窗”常常是以系统右下角的通知形式呈现。
实战经验拓展:需要注意的是,Windows系统的通知栏存在“已读/交互即焚”机制。当受害者点击该伪造的安全警告弹窗后,该通知消息会被系统自动从侧边栏清除,不会留下直观的视觉痕迹。这大大增加了事后取证的难度。
插件利用系统原生 API 触发的伪装通知弹窗,极具欺骗性
由于弹窗点击后发生了下载行为,我们再次回到前面导出的chrome_default_download.csv记录进行排查。
在下载历史记录中,发现时间线吻合的远控木马下载事件及源 URL
发现在2026-01-29 06:48:17,主机下载了一个名为“运维助手.exe”的程序。
在应急响应的实战中,任何未经确认的可执行程序下载事件都应被列入高度可疑的范畴。对应的下载 URL 恰好指向了我们已知的 C2 服务器的特定目录。
结合威胁情报平台及开放端口探测,可以进一步佐证该 URL 为托管恶意负载的钓鱼页面。
预期答案:flag{http://47.105.126.219:8080/fake/index.html}
任务七:终极远控(提取C2基础设施)
受害者在上述钓鱼页面中被诱导下载并执行了进一步的远控木马。请对该木马文件进行分析(或结合流量/日志),提取出攻击者最终用于深度控制受害主机的C2地址和端口。
分析与排查:
根据前一步提取的浏览器下载日志,确定该远控木马程序落地在 C:\Users\Solar\Downloads 目录下。
在文件系统中定位被执行的远控木马实体文件
获取到样本后,最快速的分析方法是将其上传至云沙箱(如微步云沙箱、奇安信沙箱等)进行动态行为分析,提取其网络外联特征。
利用云沙箱进行自动化动态分析,尝试提取网络通信特征
实战经验拓展:
- 沙箱逃逸应对:在实战场景中,有时将样本上传至沙箱后,由于沙箱环境的局限性(如缺少特定的运行库、模拟环境被识别)可能会出现不触发外联的情况。
- 手工动态调试:此时,建议将样本置于隔离的虚拟机中,开启火绒剑、Sysmon 等系统行为监控工具,手动触发木马以观察其真实行为轨迹。
- 逆向分析:若样本具备复杂的反沙箱或反虚拟机机制,则需要安全人员使用 IDA Pro、x64dbg 等工具进行脱壳、逆向工程和底层调试,强行提取出硬编码或动态解密的 C2 地址。
在虚拟机中使用火绒剑捕获木马执行后的真实 C2 外联地址
通过监控分析,清晰地捕获到运维助手 (1).exe进程建立了一条 TCP 连接,其远程外联的目的 IP 和端口为143.55.28.36:1234。这就是攻击者用于最终深度控制该主机的 C2 基础设施。
预期答案:flag{143.55.28.36:1234}
四、实战总结与防御建议
至此,这个《谁偷了我的数据?》的靶场排查就算全部通关了。
简单复盘一下整条攻击链路:受害者访问伪造的安全博客 -> 诱导下载并安装恶意 Chrome 扩展 -> 插件后台潜伏窃密并回传 -> 触发伪造的 Windows 系统更新弹窗 -> 诱导下载实体远控木马 (运维助手.exe) -> 主机被深度控制。
这虽然是一个仿真靶场,但其使用的技战术和国内外面临的真实黑产事件是高度一致的。针对这类情况,我们在日常的内网防御和企业安全运营中,建议关注以下几点:
- 端点策略收紧:企业办公环境应通过域控或组策略,严格限制员工在浏览器中开启“开发者模式”安装未打包的第三方扩展,非必要的插件能少则少。
- 强化进程行为监控:在部署 EDR 等端点防护产品时,不要仅盯着传统的木马落盘,需要增加对浏览器异常子进程、Service Worker 异常流量以及浏览器调用系统级 API 弹窗的关注。
- 零信任与网络隔离:对于掌握核心数据的运维人员或财务人员,办公主机应采取更加严格的网络出口白名单机制,从网络层面对未知的高危外联进行阻断。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:州弟学安全 爱州 爱州《学习干货|首发黑灰产靶场之恶意浏览器插件窃密与远控溯源复盘》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论