Google, bu tehdide karşı çeşitli önlemler getirdi; bunlar arasında Chrome’da Güvenli Tarama indirme koruması, Cihaz Bağlı Oturum Kimlik Bilgileri ve kullanıcıları çalınan çerezlerin kötüye kullanımı konusunda uyaran hesap tabanlı tehdit algılama sistemleri yer alıyor.
Çerez hırsızlığı ve bilgi çalma amaçlı kötü amaçlı yazılım kullanan siber suçlular, kullanıcı güvenliği ve emniyeti için önemli bir risk oluşturmaya devam ediyor.
Google bugün Windows kullanıcılarının bu tür saldırılara karşı güvenliğini artırmak için yeni bir koruma katmanı duyurdu. kötü amaçlı yazılım.
Chrome şu anda çerezler ve parolalar gibi hassas verileri her işletim sisteminde mevcut en güçlü teknikleri kullanarak güvence altına alıyor.
macOS’ta Chrome Keychain hizmetlerini kullanırken, Linux’ta kwallet veya gnome-libsecret gibi sistem tarafından sağlanan cüzdanları kullanır. Windows’ta Chrome, sistemdeki diğer kullanıcılardan veya soğuk önyükleme saldırılarından verileri koruyan Veri Koruma API’sini (DPAPI) kullanır.
Ancak DPAPI, bilgi hırsızlarının istismar ettiği, oturum açmış kullanıcı adına kod çalıştırabilen kötü amaçlı uygulamalara karşı koruma sağlamaz.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Uygulamaya Bağlı Şifrelemenin Tanıtımı
Windows için Chrome 127’de Google, veri güvenliğini iyileştirmek için Uygulamaya Bağlı Şifreleme’yi tanıttı. Bu yöntem, uygulamanın kimliğini şifreleme sürecine yerleştirerek yalnızca Chrome’un şifrelenmiş verilere erişebilmesini sağlar.
Sistem ayrıcalıklarıyla çalışan App-Bound hizmeti, yetkisiz uygulamaların verileri şifresini çözmesini önler. Bu güncelleme, çerez şifre çözme olay günlükleri gibi diğer önlemlerle birlikte, kullanıcı verilerini çalmaya çalışan saldırganlar için zorluğu ve tespit riskini artırır.
Bu koruma, kullanıcıların indirilen dosyaları yönetici olarak çalıştırma yetkisine sahip olmadığı kurumsal ortamlar için özellikle yararlıdır.
Bu tür ortamlarda, kötü amaçlı yazılımlar yalnızca ayrıcalık yükseltme talebinde bulunamaz ve uç nokta aracılarının daha kolay tespit edebileceği enjeksiyon gibi tekniklere başvurmak zorunda kalır.
Ancak Uygulamaya Bağlı Şifreleme, şifreleme anahtarını makineye sıkı bir şekilde bağlar; bu da Chrome profillerinin birden fazla makine arasında dolaştığı ortamlarda düzgün çalışmayacağı anlamına gelir.
Google raporuna göre, dolaşım profillerini desteklemek isteyen İşletmeler güncel en iyi uygulamaları takip etmelidir. Gerekirse, yeni ApplicationBoundEncryptionEnabled politikası, uygulamaya bağlı şifrelemeyi yapılandırmak için kullanılabilir.
Chrome, herhangi bir uyumsuzluğu tespit etmeye yardımcı olmak için başarısız bir doğrulama gerçekleştiğinde bir olay yayar. Olay, Uygulama günlüğündeki ‘Chrome’ kaynağından gelen 257 numaralı kimliktir.
Uygulamaya bağlı şifreleme, saldırganlar için veri hırsızlığının maliyetini artırır ve eylemlerini sistemde daha belirgin hale getirir. Savunucuların sistemdeki diğer uygulamalar için kabul edilebilir davranışı açıkça tanımlamasına yardımcı olur.
Kötü amaçlı yazılım ortamı geliştikçe Google, tespitleri iyileştirmek ve işletim sistemi korumalarını güçlendirmek için güvenlik topluluğuyla etkileşim kurmaya kararlıdır. Bu kapsamda, daha güçlü uygulama izolasyon ilkelleri gibi olası atlamalar için daha güçlü uygulamalar kullanılmaktadır.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide