浏览器扩展作为现代网络攻击的隐秘载体,其安全隐患在于静态审核与动态更新的不对等。ShadyPanda 战役通过数年合法运营积累信任后,利用自动更新通道植入远程代码执行(RCE)后门,实现跨 430 万用户的持久监视。该战役的核心技术点在于三层机制:持久化存储、C2 通信协议与反分析规避,这些逆向要点直接暴露了 Chromium 系浏览器的权限模型缺陷。本文聚焦工程化防护,提炼可落地参数与监控清单,帮助企业构建动态行为审计体系,避免类似供应链攻击。
持久化机制:从合法扩展到永续后门
ShadyPanda 的持久化策略精妙地利用了扩展的生命周期管理。首先,在 Phase 3 中,攻击者选取 2018-2019 年上架的五个扩展(如 Clean Master),历经 5 年合法运行,积累 30 万安装量并获 Google “精选” 与 “验证” 徽章。随后,中 2024 年推送静默更新,注入 RCE 框架。该更新无需用户干预,利用 Chrome/Edge 的自动更新机制即时生效,即使扩展下架,受感染浏览器基础设施仍保持在线。
逆向核心在于 chrome.storage.sync 的滥用:后门生成持久 UUID4 标识符,存储于 sync 命名空间,实现跨设备同步。无论浏览器重启或数据清除,该 ID 均可恢复,确保用户画像连续追踪。结合 service worker 注册,后门在后台线程永驻,监听所有网络事件。
证据支持:KOI 报告指出,“持久化 UUID4 用户标识符(存储在 chrome.storage.sync,跨设备存活)”。
防护参数与清单:
- 审计阈值:监控 chrome.storage.sync 中 UUID4 键值变化频率 > 每日 1 次,触发告警。
- 清理步骤:
- chrome://extensions/ 禁用 / 移除 ID 如 eagiakjmjnblliacokhcalebgnhellfi。
- 执行
chrome.storage.sync.clear()清空 sync 数据。 - 重置浏览器指纹:修改 user agent、时区,生成新 profile。
- 企业策略:部署企业策略(chrome://policy/)禁用扩展自动更新,强制白名单(仅允许内部签名扩展)。回滚参数:检测更新后行为异常(如 JS 大小 > 100KB),超时 5 分钟回滚至上版。
此机制的风险在于,传统 EDR 难以捕获 JS 层持久化,企业需集成浏览器遥测(如 Chrome Enterprise)上报 storage API 调用。
C2 协议:小时级低噪轮询与动态载荷
ShadyPanda 的 C2 采用简单高效的 HTTP 轮询模式:每小时一次,向 api.extensionplay [.] com 发送 GET 请求,携带浏览器指纹与 UUID,响应为任意 JS 脚本。该脚本获完整浏览器 API 权限(tabs、storage、webRequest 等),执行后自毁,避免静态签名检测。当前载荷聚焦监视:捕获所有 URL、HTTP referrer、时间戳、指纹(UA、屏幕分辨率、时区),AES 加密后 POST 至 api.cleanmasters.store。
协议设计低噪:无持久连接,避免 WebSocket 指纹;JS 通过 158KB 解释器执行,绕过 CSP。Phase 4 的 WeTab 扩展扩展至 17 个外传域名(8 个百度服务器、7 个 WeTab 中国服务器),实时上报鼠标坐标(X/Y 像素级)、搜索键击、页面交互,实现行为生物识别。
防护参数:
- 网络阈值:SIEM 规则匹配域名 extensionplay [.] com 或 cleanmasters.store 的小时级 GET/POST(频率 1/h,payload > 1KB),隔离端点。
- 行为基线:正常扩展 JS 执行 <10s / 次,异常> 30s 或网络注入 > 5 次 / 分,触发沙箱。
- 企业监控:Chrome Enterprise Core Bootstrap + osconfig,实时上报 webRequest.onBeforeRequest 事件,过滤敏感 API(如 fetch 到可疑域名)。
回滚策略:检测 C2 后,强制扩展卸载 + 浏览器重置(chrome://settings/reset),并扫描 localStorage/sessionStorage 清空残留。
规避技巧:开发者工具检测与服务工作者 MITM
规避是 ShadyPanda 的亮点:检测 chrome.devtools API 调用或开发者模式,立即切换 benign 行为,仅执行无害壁纸功能。代码重度混淆(短变量名),动态生成字符串避开关键字匹配。Service worker 注册后,可 MITM HTTPS 流量:拦截 / 替换 JS 文件、注入脚本至任意站点,实现凭证窃取或会话劫持。
证据支持:报告描述,“反分析:若打开开发者工具,后门检测并切换无害行为”。
防护清单:
- 检测规则:
指标 阈值 动作 devtools 检测逻辑 window.outerHeight - window.innerHeight > 100 沙箱隔离 Service worker 注册 监听 webRequest > 10 domains 禁用 worker 混淆 JS eval/Function 嵌套 > 3 层 静态扫描拒绝 - 企业参数:权限最小化 —— 仅批准 权限扩展;部署 uBlock Origin + NoScript 阻断未知 worker;定期审计(每周)chrome://extensions/ 权限变更。
- 高级监控:集成 Falco 或 Chrome Telemetry,捕获 serviceWorker 事件;阈值:鼠标事件上报 > 100 / 分,确认为 spyware。
Phase 4 仍在 Edge 商店活跃,企业应禁用第三方扩展商店访问,结合 MDM(如 Intune)强制策略。
工程化落地:构建浏览器供应链安全
防护核心是行为而非签名:部署零信任扩展模型,白名单 + 实时遥测。参数示例:
- 告警阈值:数据外传 > 1MB/h 或 50 URL/h。
- 回滚清单:1. 暂停更新;2. 批量移除 IOC(扩展 ID 列表见 KOI IOCs);3. 全员密码重置;4. 指纹旋转工具部署。
- 监控栈:Chrome Enterprise + Splunk/ELK,规则集覆盖 storage/C2/evasion。
ShadyPanda 证明,扩展审核需转向持续行为分析,企业可借鉴 Koi Wings™ 引擎,实现 post-install 风险评分。此战役虽停,但 playbook 已开源,防护刻不容缓。
资料来源:KOI Security 报告《4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign》(https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign);Hacker News 讨论(https://news.ycombinator.com)。