Google heeft een manier beschreven hoe bijvoorbeeld systeembeheerders via Windows Event-logs kunnen zien of er bij een malware-aanval wachtwoorden, cookies en andere data uit Chromium-gebaseerde browsers zijn gestolen. Dergelijke browsers op Windows maken gebruik van de Data Protection API (DPAPI) om lokale secrets zoals wachtwoorden en cookies te beschermen.
Om de data te beschermen werkt DPAPI met een key die wordt afgeleid van de inloggegevens van de gebruiker. Dit moet voorkomen dat andere gebruikers op het systeem de data van de betreffende gebruiker kunnen stelen, of wanneer het systeem is uitgeschakeld. Omdat het DPAPI secret is gekoppeld aan de inlogde gebruiker, biedt het geen bescherming tegen lokale malware-aanvallen. Malware op het systeem kan namelijk dezelfde API's aanroepen als de browser om het DPAPI secret te verkrijgen.
DPAPI events kunnen op verschillende plekken in Windows worden gelogd, waarmee vervolgens kan worden achterhaald dat de betreffende secrets inderdaad uit de browser zijn gestolen. Will Harris van het Chrome Security Team legt in een blog uit hoe dit moet worden gedaan en adviseert het inschakelen van deze logging.
"Het is niet mogelijk om de diefstal van inloggegevens en cookies door malware te voorkomen, maar de volgende beste optie is de aanval via gewone loganalysetools beter zichtbaar voor antivirus, endpoint detection agents of systeembeheerders te maken", aldus Harris. Die voegt toe dat door het vergroten van de kans dat een aanval wordt opgemerkt, aanvallers die graag onopgemerkt blijven en dit soort aanvallen uitvoeren mogelijk een andere afweging zullen maken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.