Windows 이벤트 로그를 사용하여 브라우저 데이터 도난 감지

크로미엄의 샌드박스는 악의적인 웹 콘텐츠로부터 보호하지만, 이미 시스템에 설치된 악성 코드는 크레덴셜과 쿠키를 훔칠 수 있습니다. 이러한 공격을 탐지하기 위해 크로미엄은 보호된 데이터에 대한 접근을 이벤트 로그에 기록하여 시스템 관리자와 엔드포인트 탐지 에이전트에게 유용한 신호를 제공합니다. 4693 이벤트 로그는 DPAPI 활동을 기록하지만 프로세스와 데이터 정보가 없습니다. 이를 해결하기 위해 16385 이벤트가 추가되어 데이터에 접근하는 애플리케이션의 프로세스 ID를 제공합니다. 이 기능을 사용하려면 Windows에서 이벤트 로깅을 활성화하고 "프로세스 생성 감사"를 활성화해야 합니다. 16385 이벤트에는 작업 유형 (SPCryptUnprotect), 데이터 설명 (예: Google Chrome) 및 호출자 프로세스 ID가 포함됩니다. 호출자 프로세스 ID를 활성 프로세스 (4688 이벤트를 사용하여 추적)와 일치시켜 공격자가 브라우저 데이터에 대한 무단 접근을 탐지할 수 있습니다. 파이썬 패스워드 스틸러를 사용한 테스트에서는 이벤트가 의심스러운 동작에 대한 증거를 제공하는 방법을 보여줍니다. 16385 이벤트는 "Google Chrome" 키를 해독하려고 시도하는 것을 보여주고, 4688 이벤트는 스크립트를 실행하는 파이썬 실행 파일의 프로세스 ID를 공개합니다. 이 기술은 크레덴셜 도난에 대한 강력한 탐지를 제공하여 공격자들이 은밀하게 남아 있는 것을 방지하고 공격에 대한 경고를 제공합니다.