เครื่องมือใหม่ที่สามารถ bypass ระบบการเข้ารหัสคุกกี้ของ Google Chrome ได้

นักวิจัยได้เปิดตัวเครื่องมือใหม่ที่สามารถ bypass ระบบป้องกันการโจรกรรมคุกกี้การเข้ารหัสแบบ App-Bound ของ Google และสามารถดึงข้อมูล credentials ที่บันทึกไว้ในเว็บเบราว์เซอร์ Chrome ออกไปได้

เครื่องมือนี้มีชื่อว่า ‘Chrome-App-Bound-Encryption-Decryption’ ได้รับการเผยแพร่โดย Alexander Hagenah นักวิจัยด้านความปลอดภัยไซเบอร์ หลังจากที่เขาสังเกตเห็นว่านักวิจัยคนอื่น ๆ กำลังคิดค้นวิธีหลบเลี่ยงแบบเดียวกันนี้ได้แล้ว

แม้ว่าเครื่องมือนี้จะทำได้แบบเดียวที่โปรแกรมขโมยข้อมูลหลาย ๆ ตัวได้เพิ่มเข้าไปในมัลแวร์แล้วก็ตาม แต่การเข้าถึงแบบ public ของเครื่องมือนี้จะเพิ่มความเสี่ยงให้กับผู้ใช้ Chrome ที่ยังคงเก็บข้อมูลสำคัญในเบราว์เซอร์ของตนเอง

ปัญหาของการเข้ารหัสที่ผูกกับแอปของ Google

Google ได้เปิดตัวการเข้ารหัสแบบ Application-Bound (App-Bound) ในเดือนกรกฎาคม ของ Chrome เวอร์ชัน 127 ซึ่งเป็นเทคนิคการป้องกันแบบใหม่ที่เข้ารหัสคุกกี้โดยใช้บริการของ Windows ที่ทำงานด้วยสิทธิ์ระดับ SYSTEM

เป้าหมายคือการป้องกันข้อมูลสำคัญจากมัลแวร์ประเภทขโมยข้อมูล ซึ่งทำงานโดยใช้สิทธิ์ของผู้ใช้ที่ล็อกอินอยู่ ทำให้ไม่สามารถถอดรหัสคุกกี้ที่ถูกขโมยได้ โดยไม่ต้องเข้าถึงสิทธิ์ระดับ SYSTEM ซึ่งอาจเป็นการส่งสัญญาณเตือนให้กับซอฟต์แวร์รักษาความปลอดภัย

Google อธิบายไว้ในเดือนกรกฎาคม ระบุว่า “เนื่องจากบริการ App-Bound ทำงานด้วยสิทธิ์ระดับ SYSTEM ผู้โจมตีจึงต้องทำมากกว่าการหลอกให้ผู้ใช้รันแอปพลิเคชันที่เป็นอันตราย”

“ตอนนี้มัลแวร์จำเป็นต้องได้รับสิทธิ์ระดับ SYSTEM และ inject code เข้าไปใน Chrome ซึ่งเป็นสิ่งที่ซอฟต์แวร์ที่มีความน่าเชื่อถือไม่ควรทำ

อย่างไรก็ตาม ภายในเดือนกันยายน นักขโมยข้อมูลหลายรายได้พบวิธี Bypass ฟีเจอร์ความปลอดภัยใหม่นี้ และเพิ่มความสามารถให้กับลูกค้าที่เป็นอาชญากรไซเบอร์ในการขโมย และถอดรหัสข้อมูลที่สำคัญจาก Google Chrome

Google ได้แจ้งกับ BleepingComputer ว่า เกมระหว่างนักพัฒนาที่คอยขโมยข้อมูล และวิศวกรของบริษัทนั้นเป็นสิ่งที่คาดการณ์ไว้แล้ว และพวกเขาไม่เคยคิดว่าเทคนิคการป้องกันของตนจะสมบูรณ์โดยที่ไม่มีช่องโหว่

โดยการเปิดตัวการเข้ารหัสแบบ App-Bound พวกเขาหวังว่าจะสามารถวางรากฐานสำหรับการพัฒนาระบบให้สมบูรณ์มากขึ้นอย่างต่อเนื่อง ด้านล่างคือคำตอบของ Google ในขณะนั้น

“เราทราบถึงการล้มเหลวของฟีเจอร์การป้องกันใหม่นี้ ซึ่งเป็นรูปแบบใหม่ที่เกิดในวงการของมัลแวร์ขโมยข้อมูล และเราคาดว่าการป้องกันนี้จะทำให้ผู้โจมตีหันไปใช้วิธีการที่ถูกตรวจจับได้มากขึ้น เช่น การ injection หรือการดึงข้อมูลจากหน่วยความจำ ซึ่งสอดคล้องกับพฤติกรรมใหม่ที่เราได้พบเห็น"

โฆษกของ Google ระบุว่า "เรายังคงทำงานร่วมกับผู้พัฒนา OS และซอฟต์แวร์ป้องกันไวรัส (AV) เพื่อพยายามตรวจจับรูปแบบการโจมตีใหม่เหล่านี้ให้มากขึ้น รวมถึงการพัฒนามาตรการป้องกันอย่างต่อเนื่องเพื่อเพิ่มการป้องกันมัลแวร์ขโมยข้อมูลให้กับผู้ใช้ของเรา”

วิธีการ Bypass มีการเปิดให้ใช้งานแบบ public

เมื่อวันที่ 28 ตุลาคม 2024 Hagenah ได้เผยแพร่เครื่องมือ encryption bypass ในรูปแบบ App-Bound บน GitHub โดยแชร์ซอร์สโค้ดที่ทำให้ทุกคนสามารถศึกษา และคอมไพล์เครื่องมือนี้ได้

ตามคำอธิบายของโปรเจกต์ระบุว่า เครื่องมือนี้ทำหน้าที่ถอดรหัสคีย์ที่ถูกเข้ารหัสแบบ App-Bound ซึ่งเก็บอยู่ในไฟล์ Local State ของ Chrome โดยใช้บริการ IElevator ภายในของ Chrome ซึ่งทำงานผ่าน COM

“เครื่องมือนี้เป็นวิธีการค้นหา และถอดรหัสคีย์เหล่านี้ ซึ่ง Chrome ป้องกันไว้ด้วยการเข้ารหัสแบบ App-Bound Encryption (ABE) เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เช่น คุกกี้ (และอาจรวมถึงรหัสผ่าน และข้อมูลการชำระเงินในอนาคต)”

ในการใช้เครื่องมือนี้ ผู้ใช้ต้องคัดลอกไฟล์โปรแกรมไปยังไดเรกทอรีของ Google Chrome ซึ่งมักอยู่ที่ C:\Program Files\Google\Chrome\Application โดยโฟลเดอร์นี้ได้รับการป้องกัน ดังนั้นผู้ใช้ต้องมีสิทธิ์ผู้ดูแลระบบก่อน (Administrator Privileges) เพื่อคัดลอกไฟล์ไปยังโฟลเดอร์ดังกล่าว

อย่างไรก็ตาม โดยทั่วไปแล้วสามารถทำได้ง่าย เนื่องจากมีผู้ใช้ Windows จำนวนมาก โดยเฉพาะกลุ่มผู้ใช้ทั่วไป ซึ่งมักจะใช้บัญชีที่มีสิทธิ์ในระดับผู้ดูแลระบบอยู่แล้ว

เมื่อพิจารณาจากผลกระทบที่เกิดขึ้นจริงต่อความปลอดภัยของ Chrome นักวิจัย g0njxa แจ้งกับ BleepingComputer ว่า เครื่องมือของ Hagenah สาธิตวิธีการพื้นฐานที่โปรแกรมขโมยข้อมูลส่วนใหญ่ใช้แทนในการขโมยคุกกี้จาก Google Chrome ทุกเวอร์ชัน

นักวิเคราะห์มัลแวร์จาก eSentire ที่ใช้ชื่อว่า Russian Panda ยังยืนยันกับ BleepingComputer ว่า วิธีของ Hagenah มีลักษณะคล้ายกับวิธีการ bypass ในช่วงแรกที่มัลแวร์ขโมยข้อมูลใช้ เมื่อ Google เริ่มใช้การเข้ารหัสแบบ App-Bound ใน Chrome

Russian Panda แจ้งกับ BleepingComputer ว่า Lumma ใช้วิธีนี้ โดยเรียกใช้อินเทอร์เฟซ IElevator ของ Chrome ผ่าน COM เพื่อเข้าถึงบริการ Elevation ของ Chrome เพื่อถอดรหัสคุกกี้ แต่วิธีนี้อาจมีร่องรอยที่เห็นได้ชัด ทำให้ตรวจจับได้ง่าย

“ตอนนี้พวกเขาใช้การถอดรหัสแบบ indirect โดยไม่ต้องมีการโต้ตอบกับบริการ Elevation ของ Chrome โดยตรง”

อย่างไรก็ตาม g0njxa ให้ความเห็นว่า Google ยังตามไม่ทัน จึงทำให้ข้อมูลสำคัญของผู้ใช้ที่เก็บไว้ใน Chrome ถูกขโมยได้ง่ายด้วยเครื่องมือใหม่นี้

เพื่อตอบสนองต่อการเปิดตัวเครื่องมือนี้ Google ได้แชร์คำชี้แจงต่อไปนี้กับ BleepingComputer

Google แจ้งกับ BleepingComputer ว่าโค้ดนี้ [xaitax's] ต้องได้รับสิทธิ์ผู้ดูแลระบบ ซึ่งแสดงให้เห็นว่าเราได้เพิ่มระดับการเข้าถึงที่จำเป็นที่จะทำให้การโจมตีประเภทนี้สำเร็จได้ยากขึ้น

แม้ว่าจะเป็นความจริงที่ต้องมีสิทธิ์ผู้ดูแลระบบ แต่ก็ยังดูเหมือนว่าวิธีการนี้ไม่ส่งผลกระทบต่อการทำงานของมัลแวร์ขโมยข้อมูล ซึ่งเพิ่มขึ้นในช่วงหกเดือนที่ผ่านมา โดยมีเป้าหมายไปยังผู้ใช้ผ่านช่องโหว่แบบ zero-day และ fake fixes ใน GitHub รวมถึงคำตอบปลอมใน StackOverflow

ที่มา : www.bleepingcomputer.com