Aggregator

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。

该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。

尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。

Google 的应用程序绑定加密问题

Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。

其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。

谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。”

然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。

信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，谷歌从未认为自己的防御机制会是无懈可击的。相反，随着应用程序绑定加密的引入，他们希望最终能为逐步构建更健全的系统奠定基础。

公开绕过

昨天，Hagenah 在 GitHub 上提供了他的 App-Bound 加密绕过工具，并共享源代码，允许任何人学习和编译该工具。

该工具使用 Chrome 内部基于 COM 的 IElevator 服务，解密存储在 Chrome 本地状态文件中的应用程序绑定加密密钥。提供了一种检索和解密这些密钥的方法，Chrome 通过应用程序绑定加密 (ABE) 来保护这些密钥，以防止未经授权访问 Cookie 等安全数据（以及未来可能的密码和支付信息）。

要使用该工具，用户必须将可执行文件复制到 Google Chrome 目录中，该目录通常位于 C:\Program Files\Google\Chrome\Application。

该文件夹受保护，因此用户必须首先获得管理员权限才能将可执行文件复制到该文件夹。

然而，这通常很容易实现，因为许多 Windows 用户（尤其是消费者）使用具有管理权限的帐户。

就其对 Chrome 安全性的实际影响而言，研究人员 g0njxa 表示，Hagenah 的工具展示了一种大多数信息窃取者现在已经超越的基本方法，可以从所有版本的 Google Chrome 中窃取 cookie。 eSentire 恶意软件分析师也证实，Hagenah 的方法看起来与谷歌首次在 Chrome 中实施应用程序绑定加密时信息窃取者所采用的早期绕过方法类似。

Lumma 也使用了这种方法——通过 COM 实例化 Chrome IElevator 接口来访问 Chrome 的 Elevation Service 来解密 cookie，但这可能会非常嘈杂且易于检测。现在，他们使用间接解密，而不直接与 Chrome 的高程服务交互。

不过，g0njxa 评论称，谷歌仍未赶上，因此使用新工具可以轻松窃取 Chrome 中存储的用户机密。

为了响应该工具的发布，Google 表示此代码 [xaitax] 需要管理员权限，这也表明已经成功提高了实现此类攻击所需的访问量。

虽然确实需要管理员权限，但它似乎并没有影响信息窃取恶意软件操作，这些恶意软件操作在过去六个月中只增加了，通过零日漏洞、对 GitHub 问题的虚假修复，甚至对堆栈溢出。

10月24日，嘶吼正式开通了2024年网络安全“金帽子”年度评选投票通道，目前，嘶吼官方后台已收到约4万次投票。大众评选投票结束时间为11月7日中午12:00，请各企业单位注意把握时间，对各优秀企业和数百款安全产品等奖项的投票评选积极进行助力。

作为目前行业内影响力广泛的评选活动之一，本次“金帽子”奖将表彰网络安全领域表现突出的企业团队及产品，鼓励在本年度辛勤耕耘并持续创造价值的网络安全企业，激励网安领域优秀企业担负起托举市场发展趋势、引领行业创新风尚的产业责任。

基于此，2024年网络安全“金帽子”年度评选特设立七大奖项，包括年度优秀安全产品、年度优秀行业解决方案、年度大模型创新技术、年度行业影响力、年度优秀团队品牌、年度创新成果典型案例、年度杰出安全服务商。其中，除年度优秀行业解决方案将分别评选出政务、金融、能源3个方向，大众投票分数与专家评分分数之和最高的前3名之外，其他6大奖项都将各选出前5名获得2024年网络安全“金帽子”奖。

除此之外，专家评审还将从产品营收、客户类型、数量及营收占比等多维度进行甄选，通过全面分析对各奖项进行评分，综合大众投票分数后，选出各奖项赛道的佼佼者。

评选投票规则

本届网络安全“金帽子”年度评选活动，由大众投票占比40%，专家投票占比60%进行综合考量。

同时评选系统对恶意刷票行为制定了预防机制，评选过程公开、客观、公正。大众可通过PC端、手机端等多渠道参与，每天每人每项有1票的投票数量。

投票方式

1、网站投票方式

PC端或手机端登录嘶吼官网点击首页专题栏，进入2024年”网络安全金帽子年度评选”页面，下拉至「评选奖项」再点击喜欢企业下方的“投票”按钮即可投票。

网站投票入口：https://www.4hou.com/golden-hat-2024

2、微信投票方式

扫描下方二维码，即可进入投票页面进行投票，同时也可了解各奖项的投票情况。

助力海报

企业助力海报获取方式：

用PC端或手机端进入“2024网络安全金帽子年度评选”专题页面，进入你要投票的企业，点击企业下方的“助力海报”自动生成投票海报，分享至好友或朋友圈，对方可直接进入企业页面进行投票。

防不正当竞争说明

网络安全“金帽子”奖旨在推动网络安全行业良性发展，禁止参选企业与个人，通过刷票等不公平的方式获得奖项。

如在投票阶段发现参选企业或个人使用不限于自动化程序的方式刷票，嘶吼有权直接在统计过程中去除相关数据且无需进行说明；如发现参选企业或个人持续进行不限于自动化程序的方式进行刷票，嘶吼有权暂停该参选企业或个人继续参与本次投票活动。

SharpExclusionFinder This C# program finds Windows Defender folder exclusions using Windows Defender through its command-line tool (MpCmdRun.exe). The program processes directories recursively, with configurable depth and thread usage, and outputs information about exclusions and scan progress....

The post SharpExclusionFinder: finds Windows Defender folder exclusions appeared first on Penetration Testing Tools.

Starkiller Starkiller is a Frontend for Powershell Empire. It is an Electron application written in VueJS. Multi-user GUI application for interfacing with the Empire C2 server from any computer. Starkiller represents a huge step forward...

The post Starkiller: Frontend for PowerShell Empire appeared first on Penetration Testing Tools.

Venator – Threat Detection Platform A flexible detection system that simplifies rule management and deployment with K8s CronJob and Helm. Venator is optimized for Kubernetes deployment but is flexible enough to run standalone or...

The post venator: A flexible threat detection platform appeared first on Penetration Testing Tools.

What is DalFox DalFox is a powerful open-source tool that focuses on automation, making it ideal for quickly scanning for XSS flaws and analyzing parameters. Its advanced testing engine and niche features are designed...

The post dalfox: Parameter Analysis and XSS Scanning tool appeared first on Penetration Testing Tools.