Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Инструмент для обхода App-Bound Encryption появился на GitHub

29/10/24

Google-Fortifies-Chrome-Against-Infostealer-Malware-with-App-Bound-Encryption-1

Специалист по кибербезопасности Александр Хагена опубликовал инструмент под названием Chrome-App-Bound-Encryption-Decryption, позволяющий обходить недавно внедренную Google систему шифрования Application-Bound (App-Bound) и извлекать сохраненные учетные данные пользователей из браузера Chrome, пишет Securitylab.

В июле 2023 года компания Google представила механизм защиты App-Bound Encryption в версии Chrome 127. Система шифрует файлы cookies с помощью службы Windows, работающей с правами SYSTEM. Главная цель нововведения заключалась в защите конфиденциальной информации от инфостилеров, которые обычно функционируют с правами обычного пользователя. По задумке разработчиков, без получения привилегий SYSTEM вредоносное ПО не могло расшифровать украденные cookies.

Однако уже к сентябрю злоумышленники нашли способы обхода новой системы защиты. Представители Google тогда заявили BleepingComputer, что противостояние между разработчиками вредоносного ПО и инженерами компании было ожидаемым. В Google никогда не считали механизмы защиты полностью неуязвимыми, но рассматривали App-Bound как основу для создания более надежной системы безопасности.

Хагена разместил свой инструмент для обхода App-Bound на GitHub, сделав исходный код доступным для всех желающих. По словам разработчика, программа расшифровывает ключи App-Bound, хранящиеся в файле Local State браузера Chrome, используя внутренний COM-сервис IElevator.

Для работы инструмента необходимо скопировать исполняемый файл в директорию Google Chrome, обычно расположенную по адресу C:\Program Files\Google\Chrome\Application. Папка защищена, поэтому пользователям требуются права администратора. Специалисты отмечают, что получить административные привилегии достаточно просто, особенно для домашних пользователей Windows.

Исследователь g0njxa сообщил BleepingComputer, что опубликованный инструмент демонстрирует базовый метод, который большинство инфостилеров уже превзошли для кражи cookies из всех версий Google Chrome. Аналитик вредоносного ПО Russian Panda подтвердил, что метод Хагены похож на ранние способы обхода защиты, использовавшиеся после первоначального внедрения шифрования App-Bound.

Темы:УгрозыBleeping ComputerGitHubGoogle Chrome
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...