网络安全研究员亚历山大·哈格纳发布了一款名为“Chrome-App-Bound-Encryption-Decryption”的工具,旨在绕过Google Chrome的新App-Bound加密系统,提取保存的凭据。该工具利用Chrome内部服务解密App-Bound加密密钥,增加了存储在Chrome中的敏感数据的风险。尽管谷歌表示该工具需要管理员权限,但信息窃取者已找到绕过新安全功能的方法。谷歌认为,这种新防御措施将使攻击者转向更易观察的技术,公司将继续加强防御措施。然而,专家指出,大多数信息窃取者已经超越了这种方法,能够从所有版本的Chrome中窃取cookie。而且谷歌声称窃取者需要的系统管理员权限也是不切实际的,因为多数用户实际上就是管理员权限。
![浏览器口令之痛:Chrome的新Cookie加密系统又被绕过]( "浏览器口令之痛:Chrome的新Cookie加密系统又被绕过")
网络安全研究人员发布了一款工具,用于绕过Google新推出的App-Bound加密cookie盗窃防御措施并从Chrome网络浏览器中提取已保存的凭据。
这款工具名为“Chrome-App-Bound-Encryption-Decryption”,由网络安全研究员亚历山大·哈格纳 (Alexander Hagenah) 发布,因为他注意到其他人已经在研究类似的绕过方法。
尽管该工具实现的多个信息窃取操作已添加到其恶意软件中,但它的公开可用性增加了继续在浏览器中存储敏感数据的Chrome用户的风险。
Google在7月份 (Chrome 127)推出了应用程序绑定(App-Bound)加密作为一种新的保护机制,它使用以SYSTEM权限运行的Windows服务来加密cookie。
其目的是保护敏感信息免遭信息窃取恶意软件的攻击,该恶意软件以登录用户的权限运行,因此它无法在没有首先获得系统权限的情况下解密被盗的cookie,并可能在安全软件中发出警报。
谷歌在7月份解释道,由于App-Bound服务以系统权限运行,攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。而且,恶意软件必须获得系统权限,或者将代码注入Chrome,而这是合法软件不应该做的事情。
![浏览器口令之痛:Chrome的新Cookie加密系统又被绕过]( "浏览器口令之痛:Chrome的新Cookie加密系统又被绕过")
然而,截至9月份,多个信息窃取者已经找到绕过新安全功能的方法,并为网络犯罪客户提供了再次从Google Chrome窃取和解密敏感信息的能力。
![浏览器口令之痛:Chrome的新Cookie加密系统又被绕过]( "浏览器口令之痛:Chrome的新Cookie加密系统又被绕过")
谷歌当时告诉BleepingComputer,信息窃取者开发人员与其工程师之间“猫捉老鼠”的游戏是意料之中的,他们从未假设他们的防御机制是万无一失的。
相反,他们希望通过引入App-Bound加密,最终为逐步建立更完善的系统奠定基础。以下是谷歌当时的回应:
“我们意识到这种新防御措施对信息窃取者格局造成的破坏,正如我们在博客中所说,我们预计这种保护措施将导致攻击者的行为转向更易观察的技术,例如注入或内存抓取。这与我们所看到的新行为相符。
我们将继续与操作系统和AV供应商合作,尝试更可靠地检测这些新型攻击,并继续加强防御措施,以提高对我们用户防范信息窃取者的保护。”——谷歌发言人
10月27日,Hagenah在GitHub上发布了他的App-Bound加密绕过工具,并分享了源代码,供任何人学习和编译该工具。
![浏览器口令之痛:Chrome的新Cookie加密系统又被绕过]( "浏览器口令之痛:Chrome的新Cookie加密系统又被绕过")
项目描述中写道:“该工具使用Chrome内部基于COM的IElevator服务,解密存储在Chrome本地状态文件中的 App-Bound加密密钥。”
“该工具提供了一种检索和解密这些密钥的方法,Chrome通过应用程序绑定加密(ABE)保护这些密钥,以防止未经授权访问cookie等安全数据(以及未来可能的口令和付款信息)。”
要使用该工具,用户必须将可执行文件复制到Google Chrome目录中,该目录通常位于C:Program FilesGoogleChromeApplication。此文件夹受到保护,因此用户必须先获得管理员权限才能将可执行文件复制到该文件夹。
然而,这通常很容易实现,因为许多Windows用户(尤其是消费者)使用具有管理权限的帐户。
关于其对Chrome安全的实际影响,研究员g0njxa告诉BleepingComputer,Hagenah的工具展示了一种基本方法,大多数信息窃取者现在已经超越这种方法,可以窃取所有版本的Google Chrome中的cookie。
![浏览器口令之痛:Chrome的新Cookie加密系统又被绕过]( "浏览器口令之痛:Chrome的新Cookie加密系统又被绕过")
eSentire恶意软件分析师Russian Panda也向BleepingComputer证实,Hagenah方法与谷歌首次在Chrome 中实施App-Bound加密时信息窃取者采用的早期绕过方法类似。
Russian Panda告诉BleepingComputer:“Lumma使用了这种方法——通过COM实例化Chrome IElevator接口来访问Chrome的Elevation Service来解密cookie,但这会产生很大的噪音,很容易被发现。”
“现在,他们正在使用间接解密,而无需直接与Chrome的Elevation Service 互”。
不过,g0njxa评论称,谷歌还没有赶上,因此使用新工具很容易窃取存储在Chrome中的用户机密。
针对此工具的发布,谷歌与BleepingComputer分享了以下声明:
谷歌告诉BleepingComputer:“此代码(xaitax)需要管理员权限,这表明我们已成功提升实施此类攻击所需的访问权限。”
“Chrome-App-Bound-Encryption-Decryption”工具的发布,再次见证了攻击者在这场对抗中的适应和反击能力。这款工具不仅展示了攻击者如何绕过新的安全措施,还暴露了即使在采取了先进加密技术后,用户数据依然面临风险的现实。这种攻防对抗中的“猫捉老鼠”的游戏,再次表明网络安全是一个动态的过程,需要不断地适应和应对新出现的威胁。同时,这也提醒了用户和企业,依赖单一的安全措施是不够的,需要多层次、多角度的安全策略来保护敏感数据。预计未来这种“猫鼠游戏”大战只支变得更加复杂。
1、https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
2、https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
3、https://www.bleepingcomputer.com/news/security/google-chrome-adds-app-bound-encryption-to-block-infostealer-malware/
原文始发于微信公众号(网空闲话plus):浏览器口令之痛:Chrome的新Cookie加密系统又被绕过
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3327365.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论