關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.09.02
訊息與報導/資訊安全
當瀏覽器成為攻擊面:重新思考分散蜘蛛的安全性
報導摘要

近年來,隨著企業運營日益轉向線上化與雲端化,網路瀏覽器已從單純的資訊介面轉變為駭客的主要攻擊面。特別是一個名為「分散的蜘蛛」(Scattered Spider,亦稱 UNC3944、Octo Tempest 或 Muddled Libra)的駭客組織,其攻擊手法已演變為專門針對瀏覽器環境中的敏感資料。該組織不再依賴大規模的網路釣魚,而是採取精準的漏洞利用策略,透過「瀏覽器內瀏覽器」覆蓋、會話令牌竊取來繞過多重身份驗證(MFA),並利用惡意擴充功能或 JavaScript 注入來達成目的。

本文旨在喚醒首席資訊安全長(CISO)們,將瀏覽器安全從次要的控制措施提升至防禦策略的核心。報告提出了一套包含五個關鍵領域的多層次安全藍圖,包括:運用運行時腳本保護來阻止憑證竊取、保護會話來防止帳戶劫持、強制執行擴充功能治理、阻斷偵察活動,以及將瀏覽器遙測數據整合至現有的安全堆棧中。這份報告不僅為企業部署瀏覽器原生保護提供了戰略優勢清單,更強調瀏覽器已成為「新的身份邊界」,投資於無摩擦、具備運行時感知能力的安全平台,對於鞏固整個企業的安全態勢至關重要。


第一部分:瀏覽器為何成為新的攻擊面?

1.1 企業運營的數位轉型與雲端化

過去,企業的運算環境主要基於內部網路,大部分敏感資料和應用程式都存儲在防火牆之後。然而,隨著全球數位轉型浪潮的推進,尤其是遠端辦公模式的普及,企業開始大規模採用基於雲端的軟體即服務(SaaS)應用程式。從客戶關係管理(CRM)到企業資源規劃(ERP),員工不再需要透過VPN連接到內部網路,而是直接透過瀏覽器訪問這些應用程式。

這種轉變帶來了巨大的便利性與靈活性,但也創造了一個新的、廣泛的攻擊面。瀏覽器不再僅僅是瀏覽網頁的工具,它已經成為員工與企業關鍵資產進行互動的主要終端。每一個瀏覽器標籤頁都可能是一個潛在的入口,而每一個員工的瀏覽器都可能成為攻擊者進入企業網路的跳板。

1.2 網路犯罪集團的策略演變

傳統的網路釣魚攻擊通常採取廣泛撒網的方式,透過大量的惡意電子郵件,試圖誘騙使用者點擊惡意連結或下載附件。這些攻擊往往依賴於使用者缺乏警覺性,且成功率相對較低。

然而,「分散的蜘蛛」等現代駭客組織已經放棄了這種低效率的模式。他們轉而專注於高度精準和客製化的攻擊。這些駭客不再試圖從成千上萬的帳戶中尋找漏洞,而是鎖定特定高價值目標(如企業高管或 IT 管理員),並精心設計攻擊手法。他們的目標是竊取員工的瀏覽器會話、憑證或敏感資料,從而橫向移動到企業內部網路,進而發動勒索攻擊或竊取智慧財產。這種精準攻擊策略的成功率遠高於傳統的廣泛式攻擊,對企業造成的損害也更為嚴重。


第二部分:揭露「分散的蜘蛛」的攻擊技術

2.1 「瀏覽器內瀏覽器」(Browser-in-the-Browser, BitB)覆蓋攻擊

BitB 攻擊是一種極具欺騙性的手法。攻擊者會創建一個看起來像是合法網站登入視窗的偽造視窗。這個「視窗」實際上是網頁內的一個 HTML 和 CSS 元素,它精確地模仿了瀏覽器內部的真實彈出視窗。當使用者點擊惡意連結後,這個偽造的登入框會浮現在頁面最上層,甚至模仿瀏覽器的網址列,讓使用者誤以為是正常的認證過程。

由於這個視窗是網頁的一部分,它無法被瀏覽器的安全功能所識別為外部威脅。使用者在毫無戒備的情況下,將帳號密碼輸入到這個偽造的視窗中,憑證隨即被傳送到攻擊者的伺服器。這種攻擊成功繞過了傳統的網路釣魚過濾器,因為惡意行為發生在「合法的」網頁內容內部。

2.2 會話令牌(Session Token)竊取與多重身份驗證(MFA)繞過

多重身份驗證(MFA)被認為是防禦帳戶劫持最有效的措施之一。然而,「分散的蜘蛛」找到了繞過 MFA 的方法,即竊取會話令牌。當使用者成功登入並通過 MFA 驗證後,伺服器會發送一個會話令牌給瀏覽器,用以證明使用者已通過驗證,並允許其在一段時間內免於重新輸入密碼。

攻擊者利用惡意 JavaScript 注入或惡意擴充功能,能夠從瀏覽器的記憶體中提取這些會話令牌。一旦攻擊者獲得了有效的會話令牌,他們就可以利用這個令牌在自己的電腦上「劫持」使用者的會話,直接訪問該使用者已經登入的帳戶,而無需再次進行密碼或 MFA 驗證。這種攻擊的危害極大,因為它完全使 MFA 失去了防禦作用,攻擊者能夠無聲無息地以合法使用者的身份進行操作。

2.3 惡意瀏覽器擴充功能與 JavaScript 注入

惡意瀏覽器擴充功能是攻擊者用來竊取資料、操縱網頁內容的另一主要途徑。這些擴充功能通常偽裝成看似有用的小工具,例如密碼管理器、廣告阻擋器或生產力工具,並在官方或非官方的擴充功能商店中發布。一旦使用者安裝了這些擴充功能,它們就能夠讀取、修改使用者在瀏覽器上的所有行為,包括輸入的帳號密碼、信用卡資訊,甚至是竊取會話令牌。

JavaScript 注入則更為隱蔽。攻擊者可以利用跨站腳本(XSS)漏洞,在合法的網站上注入惡意 JavaScript 程式碼。這些程式碼在使用者瀏覽該網站時執行,能夠在背景中靜默地竊取使用者的資訊。這種攻擊方式不需要使用者安裝任何軟體,僅僅是瀏覽一個受感染的網站就可能導致資料洩露。


第三部分:應對策略:為 CISO 提出的多層次安全藍圖

面對瀏覽器成為新攻擊面的挑戰,首席資訊安全長(CISO)們必須重新評估並加強其防禦策略。以下是一套涵蓋五個關鍵領域的多層次安全藍圖:

3.1 運用運行時腳本保護來阻止憑證竊取

傳統的網路安全解決方案通常專注於在威脅到達使用者設備之前將其攔截。然而,當惡意程式碼已經在瀏覽器內部運行時,這些防護措施往往無能為力。運行時腳本保護(Runtime Script Protection)是一種新的防禦方式,它能在瀏覽器內部即時監控和阻止惡意腳本的執行。

這種技術可以偵測到像 BitB 攻擊中偽造的登入視窗,即使它是由合法的網頁載入的。它會分析腳本的行為,例如是否試圖向非預期伺服器發送憑證,並在發現可疑行為時立即阻止。這提供了一層關鍵的防禦,保護使用者免受惡意程式碼在瀏覽器內部進行的攻擊。

3.2 保護會話以防止帳戶劫持

單純的 MFA 已不足以應對會話劫持攻擊。企業需要實施更強大的會話保護措施。這包括但不限於:

  • 實施會話綁定(Session Binding):將會話令牌與特定的使用者設備或 IP 位址綁定,即使令牌被竊取,攻擊者也無法在不同的環境中使用它。

  • 縮短會話時長:將會話的有效期限設置得更短,這可以限制攻擊者利用竊取令牌的時間。

  • 監控異常會話行為:利用行為分析工具,監控使用者會話中的異常行為,例如從未知的地理位置登入、異常的訪問頻率或數據下載量,並在發現可疑情況時立即終止會話。

3.3 強制執行擴充功能治理

瀏覽器擴充功能是提升工作效率的利器,但也是企業面臨的巨大安全風險。CISO 必須建立嚴格的擴充功能治理政策,包括:

  • 建立白名單制度:只允許員工安裝經過審核、來自可信任來源的擴充功能。

  • 定期審核擴充功能:對已安裝的擴充功能進行定期安全審核,檢查它們是否要求過多權限或存在已知的安全漏洞。

  • 利用企業級管理工具:使用專門的管理工具來統一管理和控制所有員工設備上的瀏覽器擴充功能。

3.4 阻斷偵察活動

「分散的蜘蛛」等駭客組織在發動攻擊前,會進行詳細的偵察,收集目標企業的資訊。為了阻斷這些活動,企業可以採取以下措施:

  • 限制公開資訊:減少在公開網站(如領英或公司官網)上暴露員工的詳細職位和技術架構資訊。

  • 實施網頁內容安全策略:阻止惡意腳本和框架從外部載入。

  • 使用威脅情報:利用威脅情報平台,識別與駭客組織相關的惡意 IP 位址、網域和 URL,並在網路層級進行封鎖。

3.5 將瀏覽器遙測數據整合至安全堆棧

為了全面了解瀏覽器層級的威脅,企業需要將瀏覽器遙測數據(Browser Telemetry)整合到其現有的安全資訊與事件管理(SIEM)或安全協調、自動化與響應(SOAR)平台中。

瀏覽器遙測數據可以提供有關使用者瀏覽行為、擴充功能使用、網頁腳本活動等詳細資訊。透過將這些數據與其他日誌(如端點日誌、網路流量日誌)進行關聯分析,安全團隊可以更早地發現異常行為,例如:

  • 非預期腳本活動:在看似無害的網站上發現惡意腳本的執行。

  • 可疑的數據傳輸:監控到從瀏覽器傳輸到未知外部伺服器的敏感資料。

  • 擴充功能行為異常:檢測到某個擴充功能突然請求新的權限或執行非預期的行為。

將這些數據整合到中央安全平台,可以實現自動化威脅響應,例如在發現可疑活動時自動終止會話或隔離使用者設備。


第四部分:戰略優勢與行動建議

4.1 部署瀏覽器原生保護的戰略優勢

部署專門針對瀏覽器環境的保護措施,將為企業帶來多重戰略優勢:

  • 優化網路釣魚預防:直接在瀏覽器層級阻止 BitB 等複雜的網路釣魚攻擊,並識別偽造的登入頁面,而無需依賴使用者警覺性。

  • 精確的網頁擴充功能管理:強制執行企業政策,只允許使用經過審核的擴充功能,並封鎖所有未授權的擴充功能,從而降低風險。

  • 先進的資料外洩防護(DLP):在資料離開瀏覽器之前就對其進行保護,防止使用者將敏感資料複製貼上到非企業應用程式或上傳到非授權的雲端儲存空間。

  • 強化身份與存取管理(IAM):確保只有經過授權的用戶才能訪問應用程式,並阻止惡意行為者利用被盜的會話令牌或憑證進行存取。

  • 持續的威脅情報:透過瀏覽器遙測數據,為安全團隊提供豐富的威脅情報,幫助他們更好地理解攻擊者的手法,並主動調整防禦策略。

4.2 給安全領導者的行動建議

面對瀏覽器成為新的攻擊面,安全領導者應立即採取以下行動:

  1. 評估風險態勢:對當前企業環境中瀏覽器存在的風險進行全面評估。這包括清點所有員工使用的瀏覽器、安裝的擴充功能,以及他們訪問的雲端應用程式。

  2. 啟用瀏覽器保護:考慮部署專門的瀏覽器安全解決方案,這類解決方案能夠提供前面提到的運行時保護、會話管理和擴充功能治理功能。

  3. 定義情境化政策:根據員工的角色和職務,定義不同的瀏覽器安全政策。例如,財務部門的員工可能需要更嚴格的資料外洩防護策略,而軟體開發人員則可能需要更嚴格的代碼執行限制。

  4. 持續測試與驗證防禦措施:定期進行紅隊演練和滲透測試,模擬類似「分散的蜘蛛」的攻擊手法,以驗證現有的安全措施是否有效。


第五部分:結論:瀏覽器作為新的身分邊界

總結而言,瀏覽器已經從一個被動的資訊工具,演變為企業安全架構中一個至關重要的活躍組成部分。它不再僅僅是端點安全策略的一部分,而是企業的「新身份邊界」。傳統的端點安全、網路安全和電子郵件安全解決方案,雖然各自在防禦體系中發揮著重要作用,但在應對針對瀏覽器本身的精準攻擊時,顯得力不從心。

這份報告明確指出,投資於一個無摩擦、具備運行時感知能力的瀏覽器安全平台已不再是可有可無的選項,而是企業在數位化時代保護其資產的必要之舉。透過將瀏覽器安全提升到戰略核心,企業不僅能夠有效地抵禦像「分散的蜘蛛」這樣的先進威脅,更能確保其在不斷變化的網路安全環境中保持領先地位。


資料來源:https://thehackernews.com/2025/09/when-browsers-become-attack-surface.html
隨著企業將業務轉移到雲端,瀏覽器已成為駭客組織如「分散的蜘蛛」(Scattered Spider) 的主要攻擊目標。