Détection du vol de données de navigateur à l'aide des journaux d'événements Windows

Le bac à sable de Chromium protège contre le contenu web malveillant, mais pas contre les logiciels malveillants déjà présents sur le système qui peuvent voler des informations d'identification et des cookies. Pour améliorer la détection de telles attaques, Chromium enregistre l'accès aux données protégées dans les journaux d'événements, offrant des signaux précieux pour les administrateurs de système et les agents de détection d'endpoint. Le journal d'événements 4693 enregistre l'activité DPAPI, mais manque d'informations sur le processus et les données. Pour pallier à cela, l'événement 16385 a été ajouté, fournissant l'ID du processus de l'application accédant aux données. Pour utiliser cette fonctionnalité, activez la journalisation pour les deux événements et "Audit Process Creation" dans Windows. L'événement 16385 inclut le type d'opération (SPCryptUnprotect), la description des données (par exemple, Google Chrome) et l'ID du processus appelant. En appariant l'ID du processus appelant avec les processus actifs (suivis à l'aide des événements 4688), les défenseurs peuvent détecter l'accès non autorisé aux données du navigateur. Les tests avec un voleur de mots de passe en Python démontrent comment les événements fournissent des preuves de comportement suspect. L'événement 16385 montre une tentative de déchiffrement de la clé "Google Chrome", tandis que l'événement 4688 révèle l'ID du processus de l'exécutable Python exécutant le script. Cette technique offre une détection solide du vol de mots de passe, alertant les défenseurs de possibles attaques et aidant à dissuader les attaquants cherchant à rester discrets.