One Article Review
| Source |  GoogleSec |
|---|---|
| Identifiant | 8493535 |
| Date de publication | 2024-04-30 12:14:48 (vue: 2024-05-04 12:06:53) |
| Titre | Détection du vol de données du navigateur à l'aide des journaux d'événements Windows Detecting browser data theft using Windows Event Logs |
| Texte | Publié par Will Harris, Chrome Security Team Le modèle de processus sandboxé de Chrome \\ de se défend bien contre le contenu Web malveillant, mais il existe des limites à la façon dont l'application peut se protéger des logiciels malveillants déjà sur l'ordinateur.Les cookies et autres informations d'identification restent un objectif de grande valeur pour les attaquants, et nous essayons de lutter contre cette menace continue de plusieurs manières, notamment en travaillant sur des normes Web comme dbsc Cela aidera à perturber l'industrie du vol de cookies car l'exfiltration de ces cookies n'aura plus de valeur. Lorsqu'il n'est pas possible d'éviter le vol d'identification et de cookies par malware, la prochaine meilleure chose est de rendre l'attaque plus observable par antivirus, d'agents de détection de terminaux ou d'administrateurs d'entreprise avec des outils d'analyse de journaux de base. Ce blog décrit un ensemble de signaux à utiliser par les administrateurs système ou les agents de détection de point de terminaison qui devraient signaler de manière fiable tout accès aux données protégées du navigateur d'une autre application sur le système.En augmentant la probabilité d'une attaque détectée, cela modifie le calcul pour les attaquants qui pourraient avoir un fort désir de rester furtif et pourraient les amener à repenser ces types d'attaques contre nos utilisateurs. arrière-plan Les navigateurs basés sur le chrome sur Windows utilisent le DPAPI (API de protection des données) pour sécuriser les secrets locaux tels que les cookies, le mot de passe, etc.La protection DPAPI est basée sur une clé dérivée des informations d'identification de connexion de l'utilisateur et est conçue pour se protéger contre l'accès non autorisé aux secrets des autres utilisateurs du système ou lorsque le système est éteint.Étant donné que le secret DPAPI est lié à l'utilisateur connecté, il ne peut pas protéger contre les attaques de logiciels malveillants locaux - l'exécution de logiciels malveillants en tant qu'utilisateur ou à un niveau de privilège plus élevé peut simplement appeler les mêmes API que le navigateur pour obtenir le secret DPAPI. Depuis 2013, Chromium applique l'indicateur CryptProtect_Audit aux appels DPAPI pour demander qu'un journal d'audit soit généré lorsque le décryptage se produit, ainsi que le marquage des données en tant que détenue par le navigateur.Parce que tout le stockage de données crypté de Chromium \\ est soutenu par une clé sécurisée DPAPI, toute application qui souhaite décrypter ces données, y compris les logiciels malveillants, devrait toujours générer de manière fiable un journal d'événements clairement observable, qui peut être utilisé pour détecter ces typesd'attaques. Il y a trois étapes principales impliquées dans le profit de ce journal: Activer la connexion sur l'ordinateur exécutant Google Chrome, ou tout autre navigateur basé sur le chrome. Exporter les journaux des événements vers votre système backend. Créer une logique de détection pour détecter le vol. Ce blog montrera également comment la journalisation fonctionne dans la pratique en la testant contre un voleur de mot de passe Python. Étape 1: Activer la connexion sur le système Les événements DPAPI sont connectés à deux endroits du système.Premièrement, il y a le 4693 Événement qui peut être connecté au journal de sécurité.Cet événement peut être activé en activant "Audit l'activité DPAPI" et les étapes pour ce faire sont d |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | &dollarlog &dollartrue&newline&dollarlog&periodsavechanges&lpar&rpar&newline &equals &grave&newline &lcub4df0861b &newline &newline&newline &percnt&percnt1938&newline 0&newline 0445c766 07ea 0x0&newline 0x10ca0 0x10ca0&newline 0x16d8&newline 0x17eac 0x2000000000000040&newline 0x30d7c&newline 0x380000&newline 0x5c005c&newline 0x8020000000000000&newline 0xca58&newline 0xe8c85cc&newline 1104&newline 13312&newline 13314&newline 133561300019253302&newline 133561312936527018&newline 16&newline 16385 16385&newline 16385: 175809&newline 18&newline 1d66fd1131c3&rcub&newline 2&newline 2013 2839227994 32&newline 32651097299526713&newline 3457937927 4&newline 4688 4688&newline 4688: 4693 4693&newline 49f4 4de7 64&newline 68768 68768&newline 75f0 78258343&newline 8192&newline 823803824 826993&newline 82ad 97964 9a09 >0x17eac&newline >97964&newline >google >spcryptunprotect&newline able about above access accessed accomplished active activity actually added adding additional administrator administrators advanced advantage against agents alert all allowlisting already also always analysis another antivirus any api apis appear application applications applying approach are are: assurance attack attackers attacks attempt audit authorized backed backend background based basic bear because been behavior behind being best blog bound browser browsers but c&colon&bsolprogram c&colon&bsolpython3&bsolbin&bsolpython3&periodexe c&colon&bsolpython3&bsolbin&bsolpython3&periodexe&newline c&colon&bsolwindows&bsolexplorer&periodexe&newline c&colon&bsolwindows&bsolsystem32&bsolcmd&periodexe&newline calculus call called caller callerprocessid calls can cannot carrying case cause changes channel chrome chrome&newline chromium clearly closest collect collected command computer configuration consider contain content contoso&newline cookie cookies correlate corresponding could create created creation credential credentials crypto cryptprotect current currently d9d97aad59f6&newline dadmin&newline data datadescription dbsc dc01&periodcontoso&periodlocal&newline debug decrypt decrypted decrypting decryption decryptions decrypts deep deeper default defenders defends depending derived described describes description designed desire detailed details detect detected detecting detection determine directly disrupt distinguish dive does dpapi dpapi&soldebug&newline dpapi&soldebug&newline&dollarlog&periodisenabled dpapi/debug dpapidefinformationevent each earlier edge elevation emitted enable enabled enabling encrypted encryption endpoint enterprise entry essential etc even event events every exe executable executing execution exfiltrating existing expected: explorer: export feel field files&bsolgoogle&bsolchrome&bsolapplication&bsolchrome&periodexe files&bsolgoogle&bsolchrome&bsolapplication&bsolchrome&periodexe&newline finally find firstly flag flagged free from full functionality general generate generated generates gg82ulgc9go&dollar&newline gg82ulgc9go&periodcontoso&periodlocal&newline give google happening harris has have help here hex high higher hope how id: identify ids immediately important including increasing industry information injecting involved issue its itself just keep key keys know later launching legitimate let level like like: likelihood likely limits lines local log log: logged logging logic login logs longer look looks lsass main make making malicious malware manages manifests map mapping match matches matching microsoft might mind model more multiple name names need new newprocessid next nor not note now object observable obtain occurs off once one ongoing only operating operations operationtype order other out own owned own |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.