App-Bound新工具可繞過谷歌瀏覽器的 Cookie 加密系統
最近,網絡安全研究員亞歷山大-哈根納(Alexander Hagenah) 發布了一款工具,該工具名為 “Chrome-App-Bound-Encryption-Decryption ”, 可以繞過谷歌新的應用程序綁定加密 cookie 盜竊防御系統,并從 Chrome 瀏覽器中提取已保存的憑據。
雖然該工具實現了多個信息竊取者已經在其惡意軟件中添加的功能,但它的公開可用性提高了繼續在瀏覽器中存儲敏感數據的 Chrome 瀏覽器用戶的風險。
谷歌的應用程序綁定加密問題
谷歌在 7 月份推出了應用程序綁定(App-Bound)加密技術(Chrome 127),作為一種新的保護機制,它使用具有系統權限的 Windows 服務對 cookies 進行加密。
其目的是保護敏感信息免受信息竊取惡意軟件的攻擊,因為惡意軟件以登錄用戶的權限運行,如果不首先獲得 SYSTEM 權限,就無法解密竊取的 Cookie,從而可能引起安全軟件的警報。
谷歌在 7 月份解釋說:由于 App-Bound 服務以系統權限運行,攻擊者需要做的不僅僅是誘騙用戶運行惡意應用程序。
現在,惡意軟件必須獲得系統權限,或者向 Chrome 瀏覽器注入代碼,而這是合法軟件不應該做的事情。
然而,到了 9 月份,多名信息竊取者找到了繞過新安全功能的方法,并為他們的網絡犯罪客戶提供了再次從谷歌 Chrome 瀏覽器中竊取和解密敏感信息的能力。
谷歌當時告訴《BleepingComputer》,信息竊取開發者與谷歌工程師之間的 “貓捉老鼠 ”游戲一直在預料之中,他們從不認為自己的防御機制會刀槍不入。
相反,隨著 App-Bound 加密技術的推出,他們希望最終能為逐步建立更完善的系統奠定基礎。以下是谷歌當時的回應:
“正如我們在博客中所說,我們預計這種保護措施將導致攻擊者的行為轉向更易觀察的技術,如注入或內存刮擦。這與我們看到的新行為相吻合。
我們將繼續與操作系統和反病毒軟件廠商合作,嘗試更可靠地檢測這些新型攻擊,并不斷改進加固防御措施,為用戶提供更好的信息竊取保護。- 谷歌發言人
旁路工具現已公開
昨天,Hagenah 在 GitHub 上公開了他的 App-Bound 加密旁路工具,并分享了源代碼,允許任何人學習和編譯該工具。
該工具使用 Chrome 瀏覽器內部基于 COM 的 IElevator 服務,對存儲在 Chrome 瀏覽器本地狀態文件中的 App-Bound 加密密鑰進行解密。
該工具提供了一種檢索和解密這些密鑰的方法,Chrome 瀏覽器通過 App-Bound Encryption (ABE) 對這些密鑰進行保護,以防止未經授權訪問 cookie 等安全數據(將來還有可能訪問密碼和支付信息)。
要使用該工具,用戶必須將可執行文件復制到通常位于 C:\Program Files\Google\Chrome\Application 下的 Google Chrome 目錄中。該文件夾受保護,因此用戶必須首先獲得管理員權限才能將可執行文件復制到該文件夾。
不過,這通常很容易實現,因為許多 Windows 用戶,尤其是消費者,都使用具有管理權限的賬戶。
就其對 Chrome 瀏覽器安全性的實際影響而言,研究人員 g0njxa 告訴 BleepingComputer,Hagenah 的工具展示了一種基本方法,現在大多數信息竊取者已經超越了這種方法,可以從所有版本的谷歌 Chrome 瀏覽器中竊取 cookies。
eSentire惡意軟件分析師Russian Panda也向BleepingComputer證實,Hagenah的方法看起來與谷歌首次在Chrome瀏覽器中實施App-Bound加密時,信息竊取者所采取的早期繞過方法類似。
Russian Panda 表示,Lumma使用的就是這種方法:通過COM實例化Chrome IElevator接口,訪問Chrome的提升服務來解密cookie,但這種方法很容易被發現。
Russian Panda 稱他們現在使用間接解密,而不直接與 Chrome 瀏覽器的提升服務交互。不過,g0njxa 評論說,谷歌仍然沒有跟上,因此使用新工具可以輕易竊取存儲在 Chrome 瀏覽器中的用戶秘密。
針對該工具的發布,谷歌與 BleepingComputer 分享了以下聲明:
這段代碼(xaitax 的代碼)需要管理員權限,這表明我們已經成功提升了成功實施此類攻擊所需的訪問量。雖然確實需要管理員權限,但這似乎并沒有影響惡意軟件的信息竊取行動,在過去六個月里,惡意軟件的數量只增不減,它們通過零日漏洞、GitHub 問題的虛假修復,甚至 StackOverflow 上的答案來鎖定用戶。
參考來源:https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
