Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Google Chrome od 2024 roku wykorzystuje mechanizm App-Bound Encryption, którego celem jest lepsza ochrona ciasteczek sesyjnych, zapisanych haseł oraz innych wrażliwych danych przeglądarki przed kradzieżą przez malware typu infostealer. Najnowsze analizy wskazują jednak, że zabezpieczenie to zostało ponownie ominięte. Tym razem atak nie koncentruje się na łamaniu szyfrowania jako takiego, lecz na przechwyceniu klucza w momencie, gdy przeglądarka odszyfrowuje dane i ujawnia je tymczasowo w pamięci procesu.
W skrócie
Nowo opisana technika umożliwia obejście ochrony App-Bound Encryption w Google Chrome i potencjalnie również w innych przeglądarkach opartych na Chromium. Mechanizm został powiązany z malware VoidStealer i wykorzystuje legalną funkcję debugowania do zatrzymania procesu dokładnie w chwili odszyfrowywania danych. W praktyce pozwala to przechwycić materiał kryptograficzny z pamięci RAM i otwiera drogę do kradzieży cookies, tokenów oraz zapisanych poświadczeń.
- atak uderza w etap użycia danych, a nie w ich zaszyfrowany magazyn,
- wykorzystywane są legalne mechanizmy diagnostyczne systemu,
- największym ryzykiem pozostaje przejęcie aktywnych sesji użytkownika,
- problem może dotyczyć szerzej całego ekosystemu Chromium.
Kontekst / historia
App-Bound Encryption zostało wdrożone przez Google w lipcu 2024 roku jako odpowiedź na rosnącą skuteczność infostealerów działających w środowisku Windows. Wcześniejsze podejście, oparte głównie na systemowym DPAPI, nie zapewniało wystarczającej ochrony przed złośliwym oprogramowaniem działającym w kontekście legalnie zalogowanego użytkownika. W efekcie malware mogło pozyskiwać dane przeglądarki bez konieczności przełamywania zabezpieczeń na poziomie jądra systemu.
Nowy model ochrony miał sprawić, że tylko sama aplikacja Chrome będzie mogła odszyfrować chronione dane. Rozwiązanie znacząco podniosło poprzeczkę dla operatorów masowych kampanii kradzieży danych, ale nie wyeliminowało problemu całkowicie. Już wcześniej badacze i praktycy bezpieczeństwa opisywali obejścia wykorzystujące techniki bezplikowe, process hollowing, niskopoziomowe wywołania systemowe oraz manipulację pamięcią procesu. Obecna metoda potwierdza, że przeglądarka nadal pozostaje atrakcyjnym celem dla cyberprzestępców.
Analiza techniczna
Najistotniejszym elementem nowego podejścia jest atak na moment użycia tajemnicy, a nie na sam zaszyfrowany zasób. Napastnik nie próbuje zatem bezpośrednio złamać algorytmu szyfrowania ani wydobyć danych z dysku w ich postaci zaszyfrowanej. Zamiast tego czeka na krótki moment, w którym przeglądarka musi odszyfrować ciasteczko, token lub zapisane poświadczenie, aby wykorzystać je w procesie uwierzytelniania.
W tym oknie czasowym klucz główny lub dane pośrednie niezbędne do odszyfrowania pojawiają się w pamięci procesu w postaci jawnej. Według opisu analizowanego przypadku malware dołącza do procesu przeglądarki jako debugger, korzystając z legalnego mechanizmu diagnostycznego. Następnie identyfikuje właściwy punkt wykonania, zatrzymuje proces i odczytuje materiał kryptograficzny bezpośrednio z pamięci operacyjnej.
Z perspektywy obrońców to istotna zmiana, ponieważ obejście nie wymaga klasycznego ataku na magazyn danych przeglądarki. Zabezpieczenie skutecznie chroni dane w spoczynku, lecz nie eliminuje ryzyka podczas ich użycia w pamięci RAM. Innymi słowy, jeśli aplikacja musi odszyfrować sekret, pojawia się możliwość jego przechwycenia przez odpowiednio przygotowane złośliwe oprogramowanie.
Technika ta wpisuje się w szerszy trend nadużywania legalnych funkcji systemowych i narzędzi deweloperskich do działań ofensywnych. Debugowanie, introspekcja pamięci oraz sterowanie wykonaniem procesu mają uzasadnione zastosowania administracyjne i programistyczne, ale w rękach operatorów malware stają się skutecznym wektorem obejścia zabezpieczeń endpointu.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem skutecznego obejścia App-Bound Encryption jest możliwość przejęcia aktywnych sesji użytkownika. Kradzież cookies sesyjnych lub tokenów może umożliwić obejście uwierzytelniania wieloskładnikowego w usługach, w których sesja została już wcześniej ustanowiona. Dla organizacji oznacza to ryzyko nieautoryzowanego dostępu do poczty, środowisk SaaS, paneli administracyjnych, platform developerskich oraz danych finansowych.
Ryzyko nie ogranicza się wyłącznie do Chrome. Ponieważ problem dotyczy modelu działania App-Bound Encryption i szerzej ekosystemu Chromium, zagrożone mogą być również inne przeglądarki bazujące na tym samym silniku. To szczególnie ważne w środowiskach korporacyjnych, gdzie różne zespoły korzystają z odmiennych aplikacji, ale opartych na wspólnej architekturze.
Dodatkowym wyzwaniem pozostaje wykrywalność. Jeśli malware wykorzystuje legalne API debuggera i działa bardzo krótko, tylko w wybranym momencie odszyfrowania, jego aktywność może być trudniejsza do odróżnienia od nietypowych, ale legalnych działań administracyjnych lub deweloperskich. W praktyce oznacza to, że tradycyjne mechanizmy ochrony sygnaturowej mogą okazać się niewystarczające bez telemetrii behawioralnej oraz monitorowania pamięci procesu.
Rekomendacje
Organizacje powinny traktować przeglądarkę jako krytyczny zasób bezpieczeństwa, a nie tylko narzędzie użytkownika końcowego. W praktyce oznacza to konieczność wdrożenia wielowarstwowych kontroli ochronnych wokół procesów przeglądarek i przechowywanych przez nie sekretów.
W pierwszej kolejności warto ograniczyć możliwość uruchamiania nieautoryzowanych procesów i narzędzi mogących uzyskiwać dostęp do pamięci innych aplikacji. Kluczowe znaczenie mają polityki application control, wdrożenie EDR lub XDR oraz monitorowanie prób attachowania debuggera do procesów przeglądarek. Z perspektywy detekcji należy zwracać uwagę na anomalie związane z odczytem pamięci, wstrzymywaniem procesów oraz nietypowym użyciem narzędzi developerskich na stacjach roboczych użytkowników biznesowych.
Drugim filarem powinno być ograniczanie wartości danych przechowywanych w przeglądarce. Dotyczy to zwłaszcza zapisywania haseł, danych płatniczych i długotrwałych sesji administracyjnych. Tam, gdzie to możliwe, warto stosować krótszy czas życia sesji, dodatkowe warunki dostępu, ciągłą weryfikację ryzyka oraz powiązanie sesji z urządzeniem lub kontekstem sieciowym.
W środowiskach o podwyższonych wymaganiach bezpieczeństwa rekomendowane jest rozważenie izolacji przeglądarek, hardeningu stacji roboczych uprzywilejowanych oraz separacji kont administracyjnych od codziennej pracy użytkownika. Należy również aktualizować przeglądarki i systemy operacyjne bez zwłoki, ponieważ producenci mogą wprowadzać kolejne mechanizmy utrudniające podobne ataki.
- monitorowanie prób debugowania procesów przeglądarek,
- wykrywanie nieoczekiwanego dostępu do pamięci Chrome i innych przeglądarek Chromium,
- analiza podejrzanych procesów potomnych uruchamianych z kontekstu przeglądarki,
- detekcja oznak kradzieży tokenów, cookies i danych uwierzytelniających,
- śledzenie anomalii sesyjnych w usługach chmurowych po stronie tożsamości.
Podsumowanie
Nowe obejście App-Bound Encryption pokazuje, że ochrona danych przeglądarki na poziomie szyfrowania nie rozwiązuje całego problemu, jeśli atakujący potrafi przechwycić sekret w chwili jego użycia. Przeglądarki pozostają atrakcyjnym celem dla operatorów infostealerów, ponieważ są centralnym repozytorium danych sesyjnych i uwierzytelniających. Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia ochrony z samego magazynu danych na cały cykl życia sekretu: od zapisu, przez odszyfrowanie, po użycie w pamięci procesu.
Źródła
- Dark Reading — Yet Another Way to Bypass Google Chrome’s Encryption Protection — https://www.darkreading.com/endpoint-security/yet-another-way-bypass-google-chromes-encryption-protection
- Google Security Blog — Improving the security of Chrome cookies on Windows — https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on-windows.html
- CyberArk — C4 Bomb: Blowing Up Chrome’s AppBound Cookie Encryption — https://www.cyberark.com/resources/threat-research-blog/c4-bomb-blowing-up-chromes-appbound-cookie-encryption/
- Alex Hagenah — chromelevator — https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption
- Kaspersky — The current state of browser stealers — https://www.kaspersky.com/blog/browser-stolen-data-2024/52423/