Обнаружение кражи данных браузера с помощью журналов событий Windows

Сandbox Chromium защищает от вредоносного веб-контента, но не от уже существующего на системе вредоносного ПО, которое может похитить учетные данные и куки. Чтобы улучшить обнаружение таких атак, Chromium регистрирует доступ к защищенным данным в журналах событий, предоставляя ценные сигналы для системных администраторов и агентов обнаружения конечных точек. Журнал событий 4693 регистрирует активность DPAPI, но не содержит информации о процессе и данных. Чтобы решить эту проблему, был добавлен журнал событий 16385, который предоставляет идентификатор процесса (PID) приложения, имеющего доступ к данным. Чтобы использовать эту функцию, включите ведение журнала для обоих событий и "Аудит создания процесса" в Windows. Событие 16385 включает тип операции (SPCryptUnprotect), описание данных (например, Google Chrome) и PID вызывающего процесса. Сопоставляя PID вызывающего процесса с активными процессами (отслеживаемыми с помощью событий 4688), защитники могут обнаруживать несанкционированный доступ к данным браузера. Тестирование с помощью Python-скрипта по краже паролей демонстрирует, как события предоставляют доказательства подозрительного поведения. Событие 16385 показывает попытку расшифровать ключ "Google Chrome", а событие 4688 раскрывает PID исполняемого файла Python, запускающего скрипт. Эта техника обеспечивает мощное обнаружение кражи учетных данных, предупреждая защитников о возможных атаках и помогая сдерживать атакующих, стремящихся оставаться незаметными.