Windows Event Logs を使用したブラウザーデータ盗難の検出

Chromiumのサンドボックスは、悪意のあるウェブコンテンツに対する保護を提供しますが、既にシステム上にあるマルウェアが資格情報とCookieを盗むことは防げません。このような攻撃の検出を改善するために、Chromiumは、システム管理者とエンドポイント検出エージェントにとって有益なシグナルを提供するために、保護されたデータへのアクセスをイベントログに記録します。 4693イベントログはDPAPIアクティビティを記録しますが、プロセスとデータの情報が不足しています。この問題を解決するために、16385イベントが追加され、データにアクセスするアプリケーションのプロセスIDを提供します。この機能を使用するには、Windowsで両イベントのログ記録と「プロセス作成の監査」を有効にする必要があります。 16385イベントには、操作タイプ（SPCryptUnprotect）、データの説明（例えばGoogle Chrome）と、コールャープロセスIDが含まれます。4688イベントで追跡されるアクティブプロセスとコールャープロセスIDを照合することで、防御者はブラウザーデータに対する不正アクセスを検出できます。 Pythonパスワードスチーラーを使ったテストでは、イベントが疑わしい行動の証拠を提供する方法が示されます。16385イベントは、「Google Chrome」キーの暗号化解除の試みを示し、4688イベントは、スクリプトを実行するPython実行可能ファイルのプロセスIDを明らかにします。 このテクニックは、資格情報の盗難に対する強力な検出を提供し、潜伏しようとする攻撃者を阻止するのに役立ちます。