Tổng quan về ChromeAlone
ChromeAlone là một framework độc đáo cho phép biến các trình duyệt Chromium thành một implant điều khiển theo mô hình Command & Control (C2). Công cụ này cung cấp các cơ chế tiên tiến, thay thế cho các implant truyền thống như Cobalt Strike hay Meterpreter, phù hợp cho việc kiểm thử thâm nhập (penetration testing) hoặc các hoạt động Red Team.
Kiến trúc và thành phần chủ chốt
ChromeAlone được xây dựng từ nhiều module chuyên biệt:
- BATTLEPLAN: Quản lý server, sử dụng Terraform để triển khai lên AWS, cung cấp dashboard HTML cho tương tác với các host bị nhiễm.
- BLOWTORCH: Isolated Web Application độc hại, dùng Direct Socket để triển khai SOCKS TCP proxy và WebSocket server, đóng vai trò cầu nối về relay BATTLEPLAN.
- DOORKNOB: Bộ script tạo các Powershell sideloader giúp cài đặt phần mở rộng Chrome và Isolated Web App trên máy mục tiêu.
- HOTWHEELS: Extension Chrome ác ý, viết bằng WebAssembly, cung cấp khả năng chiếm quyền session, lấy credentials, thực thi shell và truy cập hệ thống file.
- PAINTBUCKET: Script nội dung nhằm lừa đảo WebAuthn, gửi yêu cầu giả mạo trong các iframe ẩn khi có yêu cầu WebAuthn thực sự.
Chức năng nổi bật
ChromeAlone cung cấp loạt tính năng mạnh mẽ sau khi cài đặt implant trên host mục tiêu:
- SOCKS TCP Proxy: Thiết lập proxy SOCKS riêng biệt trên từng máy nhiễm, hỗ trợ điều khiển lưu lượng qua các port nhất định.
- Chiếm quyền session, lấy credentials: Steal session trình duyệt, cookie, lịch sử lướt web, tự động thu thập dữ liệu truy cập và thông tin xác thực.
- Thực thi command & shell từ browser: Cho phép thực thi file, command shell từ Chrome thông qua Native Messaging Host.
- Phishing WebAuthn: Tự động gửi yêu cầu WebAuthn giả lên các physical token như YubiKey/Titan Security Key khi có yêu cầu hợp lệ từ người dùng.
- EDR-resistant Persistence: Duy trì khả năng tồn tại trên host bằng cách tận dụng tính năng native của Chromium, khó bị phát hiện bởi giải pháp bảo mật Endpoint Detection & Response.
Quy trình triển khai và sử dụng
Build và triển khai server
- Sử dụng Docker để build project:
docker build -t chromealone .
- Deploy lên AWS qua Docker, yêu cầu cấu hình đầy đủ các quyền EC2 & Route53. Các artifact đầu ra gồm:
- Web console quản trị
- Powershell sideloader cho host mục tiêu
- Extension độc hại và bundle IWA
- File cấu hình Terraform
Cài đặt lên host mục tiêu
- Sử dụng script do DOORKNOB sinh ra (sideloader.ps1), thực thi trên Windows bằng Powershell với các tuỳ chọn:
powershell.exe -ExecutionPolicy Bypass .\sideloader.ps1 -InstallNativeMessagingHost $true -ForceRestart $true
- Sau khoảng 20-30 giây, implant hoạt động và liên kết với dashboard quản trị.
Quản trị & điều khiển
- Mở file HTML của client webapp để kiểm soát host nhiễm thông qua dashboard: xem agent, chạy command, duyệt file, quản lý credential, khởi động proxy, shell tuỳ ý.
- Cấu hình SOCKS proxy cho mỗi host dựa vào thông tin agent, port, domain và mật khẩu lưu trong file output/client/config.js.
Phân tích khả năng tấn công & ứng dụng
ChromeAlone mang lại biên độ tấn công mạnh mẽ nhờ công nghệ Chrome Extension, IWA và Native Messaging:
- Lợi dụng sự tin tưởng của hệ thống vào extension, web app để thực hiện hành động không bị EDR phát hiện.
- Phần lớn chức năng được đưa vào WebAssembly, tăng độ khó phân tích ngược so với mã JavaScript thông thường.
- Modular hóa toàn bộ quy trình: từ phát hiện, tiêm implant đến quản trị và khai thác sau xâm nhập.
Đánh giá công nghệ & tiềm năng bảo mật
ChromeAlone đại diện cho xu hướng mới trong công nghệ implant – tận dụng môi trường trình duyệt để thu thập thông tin, chiếm quyền và mở rộng bề mặt tấn công mà không phải dựa trên các phương thức truyền thống vốn dễ bị antivirus/EDR phát hiện. Riêng năng lực phishing WebAuthn và quản lý SOCKS proxy cá nhân hoá là điểm cộng lớn cho các chiến dịch Red Team hoặc Offensive Security.
Thông tin bổ sung
- Ngôn ngữ sử dụng: JavaScript, Python, Go, PowerShell, HTML, C#.
- Nhà phát triển: Mike Weber, Praetorian Security.
- License: Apache-2.0.
Source link: GitHub – praetorian-inc/ChromeAlone
