Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Кибепреступники нашли способ обхода Application-Bound Encryption от Google

18/11/24

images - 2024-11-18T122003.122

Летом этого года Google представила новую защиту для браузеров Chrome и Edge, называемую «привязкой к приложению» (Application-Bound Encryption, ABE), чтобы предотвратить кражу cookies и данных авторизации, пишет Securitylab. Однако киберпреступники быстро нашли способы обхода этой защиты, что привело к новой волне активности вредоносных программ, о чём на днях сообщили эксперты компании Red Canary.

Несколько популярных инфостилеров, таких как Stealc, Vidar, LummaC2 и Meduza, уже адаптировались к нововведениям. Основная тактика — использование удалённой отладки Chromium через параметры запуска браузера. Вредоносное ПО создаёт новые скрытые окна браузера с доступом к cookies, что позволяет извлекать данные, не привлекая внимания пользователя. Этот метод применяется также в новых версиях Remcos и Cryptbot.

Другой подход — использование памяти запущенных процессов. С помощью инструмента ChromeKatz злоумышленники выгружают память браузера и извлекают из неё cookies. Эта техника не оставляет видимых следов для антивирусов, но требует точного соответствия адресов в памяти, что делает её уязвимой к изменениям версий Chromium.

Ещё один метод обхода — взаимодействие с COM-интерфейсами браузеров. Некоторые вредоносные программы, такие как Metastealer, используют эту технику, помещая свои файлы в ту же директорию, что и Chrome, для обхода встроенных проверок безопасности.

Также злоумышленники нашли способ обходить ABE через реестр Windows. Путём изменения ключей политики они могут отключить защиту для всех пользователей на устройстве. Это требует прав администратора, но, судя по находкам на VirusTotal, подобный подход уже активно используется.

Несмотря на то, что перспективный способ защиты оказал весьма низкое сопротивление хакерам, специалисты по безопасности всё равно рекомендуют обновлять браузеры до последних версий, так как они включают встроенные меры защиты, препятствующие устаревшим методам атак.

Кроме того, отключение Application-Bound Encryption можно засечь в реестре с помощью следующих системных команд, в зависимости от используемого браузера:

  • reg.exe query HKLM\Software\Policies\Google\Chrome /v ApplicationBoundEncryptionEnabled
  • reg.exe query HKLM\Software\Policies\Microsoft\Edge /v ApplicationBoundEncryptionEnabled

Если значение ключа равно 0, это указывает на отключённую защиту.

Темы:GoogleпоисковикиУгрозыинфостилерыкибербезопасность
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...