最近，網(wǎng)絡(luò)安全研究員亞歷山大-哈根納（Alexander Hagenah） 發(fā)布了一款工具，該工具名為 “Chrome-App-Bound-Encryption-Decryption ”， 可以繞過谷歌新的應(yīng)用程序綁定加密 cookie 盜竊防御系統(tǒng)，并從 Chrome 瀏覽器中提取已保存的憑據(jù)。

雖然該工具實現(xiàn)了多個信息竊取者已經(jīng)在其惡意軟件中添加的功能，但它的公開可用性提高了繼續(xù)在瀏覽器中存儲敏感數(shù)據(jù)的 Chrome 瀏覽器用戶的風(fēng)險。

谷歌的應(yīng)用程序綁定加密問題

谷歌在 7 月份推出了應(yīng)用程序綁定（App-Bound）加密技術(shù)（Chrome 127），作為一種新的保護機制，它使用具有系統(tǒng)權(quán)限的 Windows 服務(wù)對 cookies 進行加密。

其目的是保護敏感信息免受信息竊取惡意軟件的攻擊，因為惡意軟件以登錄用戶的權(quán)限運行，如果不首先獲得 SYSTEM 權(quán)限，就無法解密竊取的 Cookie，從而可能引起安全軟件的警報。

谷歌在 7 月份解釋說：由于 App-Bound 服務(wù)以系統(tǒng)權(quán)限運行，攻擊者需要做的不僅僅是誘騙用戶運行惡意應(yīng)用程序。

現(xiàn)在，惡意軟件必須獲得系統(tǒng)權(quán)限，或者向 Chrome 瀏覽器注入代碼，而這是合法軟件不應(yīng)該做的事情。

然而，到了 9 月份，多名信息竊取者找到了繞過新安全功能的方法，并為他們的網(wǎng)絡(luò)犯罪客戶提供了再次從谷歌 Chrome 瀏覽器中竊取和解密敏感信息的能力。

谷歌當(dāng)時告訴《BleepingComputer》，信息竊取開發(fā)者與谷歌工程師之間的 “貓捉老鼠 ”游戲一直在預(yù)料之中，他們從不認為自己的防御機制會刀槍不入。

相反，隨著 App-Bound 加密技術(shù)的推出，他們希望最終能為逐步建立更完善的系統(tǒng)奠定基礎(chǔ)。以下是谷歌當(dāng)時的回應(yīng)：

“正如我們在博客中所說，我們預(yù)計這種保護措施將導(dǎo)致攻擊者的行為轉(zhuǎn)向更易觀察的技術(shù)，如注入或內(nèi)存刮擦。這與我們看到的新行為相吻合。

我們將繼續(xù)與操作系統(tǒng)和反病毒軟件廠商合作，嘗試更可靠地檢測這些新型攻擊，并不斷改進加固防御措施，為用戶提供更好的信息竊取保護。- 谷歌發(fā)言人

旁路工具現(xiàn)已公開

昨天，Hagenah 在 GitHub 上公開了他的 App-Bound 加密旁路工具，并分享了源代碼，允許任何人學(xué)習(xí)和編譯該工具。

該工具使用 Chrome 瀏覽器內(nèi)部基于 COM 的 IElevator 服務(wù)，對存儲在 Chrome 瀏覽器本地狀態(tài)文件中的 App-Bound 加密密鑰進行解密。

該工具提供了一種檢索和解密這些密鑰的方法，Chrome 瀏覽器通過 App-Bound Encryption (ABE) 對這些密鑰進行保護，以防止未經(jīng)授權(quán)訪問 cookie 等安全數(shù)據(jù)（將來還有可能訪問密碼和支付信息）。

要使用該工具，用戶必須將可執(zhí)行文件復(fù)制到通常位于 C:\Program Files\Google\Chrome\Application 下的 Google Chrome 目錄中。該文件夾受保護，因此用戶必須首先獲得管理員權(quán)限才能將可執(zhí)行文件復(fù)制到該文件夾。

不過，這通常很容易實現(xiàn)，因為許多 Windows 用戶，尤其是消費者，都使用具有管理權(quán)限的賬戶。

就其對 Chrome 瀏覽器安全性的實際影響而言，研究人員 g0njxa 告訴 BleepingComputer，Hagenah 的工具展示了一種基本方法，現(xiàn)在大多數(shù)信息竊取者已經(jīng)超越了這種方法，可以從所有版本的谷歌 Chrome 瀏覽器中竊取 cookies。

eSentire惡意軟件分析師Russian Panda也向BleepingComputer證實，Hagenah的方法看起來與谷歌首次在Chrome瀏覽器中實施App-Bound加密時，信息竊取者所采取的早期繞過方法類似。

Russian Panda 表示，Lumma使用的就是這種方法：通過COM實例化Chrome IElevator接口，訪問Chrome的提升服務(wù)來解密cookie，但這種方法很容易被發(fā)現(xiàn)。

Russian Panda 稱他們現(xiàn)在使用間接解密，而不直接與 Chrome 瀏覽器的提升服務(wù)交互。不過，g0njxa 評論說，谷歌仍然沒有跟上，因此使用新工具可以輕易竊取存儲在 Chrome 瀏覽器中的用戶秘密。

針對該工具的發(fā)布，谷歌與 BleepingComputer 分享了以下聲明：

這段代碼（xaitax 的代碼）需要管理員權(quán)限，這表明我們已經(jīng)成功提升了成功實施此類攻擊所需的訪問量。雖然確實需要管理員權(quán)限，但這似乎并沒有影響惡意軟件的信息竊取行動，在過去六個月里，惡意軟件的數(shù)量只增不減，它們通過零日漏洞、GitHub 問題的虛假修復(fù)，甚至 StackOverflow 上的答案來鎖定用戶。

參考來源：https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/