Sürekli gelişen siber güvenlik ortamında Google, kullanıcı verilerini kötü niyetli aktörlerden korumak için sürekli olarak çaba göstermektedir. Yakın tarihli bir blog gönderisinde teknoloji devi, tarayıcı veri hırsızlığını tespit etmek için yeni bir yöntem ortaya çıkardı. Windows Olay Günlükleri.
Bu yaklaşım, veri hırsızlığını daha gözlemlenebilir hale getirmeyi, böylece antivirüs yazılımının, uç nokta tespit aracılarının ve sistem yöneticilerinin bu tür girişimleri işaretlemesine ve engellemesine olanak sağlamayı amaçlamaktadır.
Chromium’un Korumalı Alana Sahip Süreç Modeli
Google Chrome, Microsoft Edge ve diğer tarayıcıların temelini oluşturan açık kaynaklı tarayıcı projesi Chromium, kötü amaçlı web içeriğine karşı savunma sağlamak için korumalı alanlı bir süreç modeli kullanır.
Bu model, güvenliği ihlal edilmiş tek bir işlemin tüm sistemi etkilemesini önlemek için işleme, komut dosyası oluşturma ve ağ oluşturma gibi farklı tarayıcı işlemlerini izole eder.
Ancak bir uygulamanın kendisini bilgisayarda halihazırda mevcut olan kötü amaçlı yazılımlara karşı ne kadar iyi koruyabileceğinin sınırları vardır.
Çerezler ve diğer kimlik bilgileri, saldırganlar için yüksek değerli hedefler olmaya devam ediyor ve Google, devam eden bu tehditle birden fazla strateji aracılığıyla mücadele ediyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Tarayıcı Veri Hırsızlığı Tespiti
Google’ın araştırdığı yöntemlerden biri, tarayıcının kendisi dışında bir işlemin korumalı tarayıcı verilerine erişmeye çalıştığını tespit etmek için Windows Olay Günlüklerinin kullanılmasıdır.
Google Chrome güvenlik ekibinden Wills Harris’e göre bu yaklaşım, tarayıcıların çerezler, şifreler ve kimlik doğrulama belirteçleri gibi hassas bilgileri şifrelemek ve güvenliğini sağlamak için Veri Koruma API’sini (DPAPI) kullanması gerçeğine dayanıyor.
Bir işlem, DPAPI güvenliği sağlanan verilerin şifresini çözmeye çalıştığında, Windows Olay Günlüğünde belirli bir olay oluşturur. Bu olayların izlenmesi, kötü amaçlı bir işlemin tarayıcı verilerini çalmaya çalıştığını tespit edebilir.
Örneğin DataDescription alanı, şifresi çözülen verinin türünü gösterir. Chromium tabanlı her tarayıcı, verilerini ürün adıyla (örneğin, Google Chrome veya Microsoft Edge) etiketlediğinden, tarayıcı verilerini DPAPI güvenliği sağlanan diğer verilerden ayırmak mümkündür.
Bir işlem tarayıcı verilerinin şifresini çözmeye çalıştığında Windows Olay Günlüklerinde iki önemli olay oluşturulur:
- Olay 16385: Bu olay, bir işlemin “DataDescription” alanı (örn. “Google Chrome”) tarafından tanımlanan belirli bir tarayıcı anahtarının şifresini çözdüğünü gösterir.
- Olay 4688: Bu olay, işlem kimliği de dahil olmak üzere şifre çözme işlemini gerçekleştiren işlem hakkında bilgi sağlar.
Şifre çözme girişimi tarafından oluşturulan olay, Olay Kimliği 16385, girişimin doğasını tanımlamak için kullanılabilecek çeşitli bilgiler içerir.
Bu iki olayı ilişkilendirerek, sistem yöneticileri veya uç nokta algılama aracıları, şifre çözme girişiminin meşru (yani tarayıcının kendisi tarafından gerçekleştirilen) veya potansiyel olarak kötü amaçlı (yani yetkisiz bir işlem tarafından gerçekleştirilen) olup olmadığını belirleyebilir.
Google, herkese açık bir blogdan alınan şifrelerin şifresini çözmek için genel bir komut dosyası kullanarak bu yöntemi test etti.
Komut dosyası beklendiği gibi iki olay oluşturdu: Bir işlemin “Google Chrome” anahtarının şifresini çözdüğünü gösteren 16385 olayı ve betiğin işlem kimliğini ortaya çıkaran 4688 olayı.
Sağlanan içerik, özellikle parolalar gibi tarayıcı verilerinin şifresinin çözülmesini hedefleyen DPAPI (Veri Koruma API’si) etkinliklerine yetkisiz erişimi tespit etmek için sistem günlüğünü etkinleştirmeye yönelik bir yöntemin ana hatlarını çizmektedir.
İlgili adımların kısa bir özetini burada bulabilirsiniz:
Günlük kaydı etkinleştir:
DPAPI olaylarını, özellikle de Güvenlik Günlüğü’ndeki olay kimliği 4693’ü ve Hata Ayıklama kanalındaki yeni olay kimliği 16385’i günlüğe kaydetmek için sistemin güvenlik ayarlarında “DPAPI Etkinliğini Denetle” seçeneğini etkinleştirin.
4693 olayı şuna benzer:
4693
0
0
13314
0
0x8020000000000000
175809
Security
DC01.contoso.local
S-1-5-21-3457937927-2839227994-823803824-1104
dadmin
CONTOSO
0x30d7c
0445c766-75f0-4de7-82ad-d9d97aad59f6
0x5c005c
DC01.contoso.local
0x380000
Bir 16385 olayı şuna benzer:
16385
0
4
64
0
0x2000000000000040
826993
Microsoft-Windows-Crypto-DPAPI/Debug
WIN-GG82ULGC9GO.contoso.local
SPCryptUnprotect
Google Chrome
{4df0861b-07ea-49f4-9a09-1d66fd1131c3}
0
16
0
32651097299526713
97964
133561300019253302
32
Etkinlikleri Toplayın:
- Günlüklerden iki belirli etkinlik türünü toplamaya odaklanın:
- DPAPI işlemlerini ayrıntılarıyla anlatan, Hata Ayıklama günlüğündeki olay 16385.
- Güvenlik günlüğündeki işlem oluşturulduğunu gösteren olay 4688.
Algılama Mantığını Yaz:
Olay 4688’deki süreç kimliklerini etkin süreçlerle eşleştirmek için mantık geliştirin ve bunları olay 16385’teki süreç kimlikleriyle çapraz referans haline getirin. Bu, verilerin şifresini çözmeye çalışan yetkisiz uygulamaların belirlenmesine yardımcı olur.
Sistemi Test Edin:
Sistemin yetkisiz DPAPI erişim girişimlerini doğru bir şekilde günlüğe kaydetmesini ve tanımlamasını sağlamak için bilinen bir komut dosyası (örneğin, parola çalmak için bir Python komut dosyası) kullanarak bir test senaryosu uygulayın.
Bu yöntem, hassas verileri yetkisiz erişime ve olası hırsızlığa karşı korumak için ayrıntılı olay izleme ve günlük kaydından yararlanır.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free