合法API滥用(Legitimate API Abuse)是通过调用浏览器提供的标准开发者接口实现信息收集的技术。攻击者利用浏览器内置的调试协议(如Chrome DevTools Protocol)或管理接口(如BrowserManagement API),通过模拟合法管理操作获取用户数据。该技术完全遵循浏览器接口调用规范,将恶意请求伪装成用户行为分析或远程调试等正常业务操作。
该技术的匿迹效果依赖于API调用的合法性与上下文环境的合理性构建。攻击者通过浏览器开放端口(如Chrome的9222调试端口)建立WebSocket连接,使用CDP命令(如Page.getCookies)批量导出Cookie数据。为规避端口扫描检测,攻击代码会动态检测调试端口状态并采用间歇式连接策略。针对企业环境中的浏览器管理接口,攻击者伪造MDM(移动设备管理)服务器身份,通过BrowserManagement API获取全量用户浏览行为日志。由于所有操作均使用浏览器厂商签名的二进制文件(如chrome.exe),且API调用序列符合正常管理操作模式,传统基于进程行为或命令行参数的检测手段完全失效。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon