Многие современные веб-браузеры предлагают встроенные менеджеры паролей, чтобы повысить удобство использования и упростить процесс входа в систему для пользователей. Когда пользователь входит на сайт, браузер может предложить сохранить его имя пользователя и пароль для дальнейшего использования. Когда пользователь выбирает сохранение пароля, браузер шифрует данные с помощью механизма, связанного с системными учетными данными пользователя или мастер-ключом.
Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров
Внутри браузера используются безопасные механизмы хранения для отслеживания сохраненных учетных данных. Например, в Chrome пароли хранятся в зашифрованном файле базы данных, часто расположенном в каталоге профиля пользователя. Этот файл невозможно расшифровать без доступа к учетным данным пользователя на уровне операционной системы или, в некоторых случаях, без входа в профиль браузера, связанный с облачным сервисом. Аналогично, Firefox использует зашифрованную базу данных под названием logins.json и файл key4.db для управления сохраненными паролями, причем шифрование привязано к главному паролю пользователя, если он установлен.
Когда пользователь посещает веб-сайт, на котором сохранены учетные данные, браузер извлекает и расшифровывает соответствующие имя пользователя и пароль, автоматически заполняя поля для входа. Этот процесс происходит в фоновом режиме, а для расшифровки требуется аутентификация пользователя на устройстве или в профиле браузера.
Злоумышленники извлекают сохраненные имена пользователей и пароли из веб-браузеров, используя их механизмы хранения учетных данных. Извлеченные учетные данные могут обеспечить прямой доступ к личным и корпоративным аккаунтам, что делает их привлекательной целью для злоумышленников.
Эта техника обычно требует, чтобы злоумышленники изначально закрепились в целевой системе. Попав в систему, атакующие нацеливаются на файлы, базы данных или API, связанные с хранилищем паролей в браузере. Например, Google Chrome и Microsoft Edge хранят учетные данные в зашифрованной базе данных SQLite в каталоге профиля пользователя. Ключи шифрования для этих баз данных часто связаны с механизмом безопасного хранения операционной системы, таким как Windows Data Protection API (DPAPI) или macOS Keychain. Если атакующий получит административные привилегии, он сможет извлечь базу данных и расшифровать ее с помощью инструментов или скриптов, использующих эти ключи. Аналогичным образом Mozilla Firefox хранит учетные данные в файле logins.json, зашифрованном ключом, хранящимся локально, который атакующие могут получить, чтобы расшифровать файл и извлечь пароли.
В феврале 2024 года CISA сообщила, что китайская группа APT Volt Typhoon нацелена на Google Chrome и Microsoft Edge для хранения учетных данных и истории браузера. Злоумышленники ищут конфиденциальные данные в папках, перечисленных ниже, и извлекают файл Local State, который содержит ключ шифрования AES, используемый для шифрования паролей, хранящихся в браузере.
| 1 2 3 4 | AppData\local\Google\Chrome\UserData\default\History AppData\Local\Google\Chrome\User Data\Local State AppData\Local\Google\Chrome\User Data\Default\Login Data AppData\Local\Microsoft\Edge\User Data |