新型木马绕过Chrome安全机制，无注入窃取浏览器主密钥

一款名为VoidStealer的信息窃取恶意软件，近期被曝出采用了全新的手法，绕过了谷歌Chrome浏览器去年引入的“应用绑定加密”（ABE）保护机制。这种新方法不依赖传统的代码注入，而是通过调试器和硬件断点，直接从浏览器内存中“钓”出用于解密敏感数据的主密钥。

据安全公司Gen Digital（诺顿、Avast等品牌的母公司）的研究人员披露，VoidStealer的这一新功能在其2.0版本中推出。这是安全人员首次在真实攻击中发现，有窃密木马采用基于调试器的技术来突破ABE防线。

谷歌在2024年6月发布的Chrome 127版本中加入了ABE机制，旨在将浏览器存储的cookies等敏感数据的主密钥始终保持在加密状态，防止普通用户权限下的恶意程序直接读取。然而，这项防御措施从推出之初就面临着挑战，此前已有多种窃密软件通过不同方式找到了绕过路径。

VoidStealer的新版绕过手法显得颇为巧妙。它利用了Chrome在启动时，为了解密自身存储的敏感数据，主密钥会短暂以明文形式存在于内存中的这一时机。

具体攻击流程如下：

1. 静默启动：恶意软件创建一个被挂起且隐藏的浏览器进程，并让自己成为该进程的调试器。

2. 精准定位：当目标浏览器加载其核心DLL文件（如`chrome.dll`）后，VoidStealer会在其中搜索特定的代码片段，并找到一个关键指令（`LEA`）的地址，将其设为硬件断点。

3. 断点截获：恶意软件在所有现有和新创建的浏览器线程上设置好该断点，然后恢复浏览器运行。当浏览器启动，并执行到解密敏感数据的代码段时，硬件断点被触发。

4. 提取密钥：在断点触发的那一刻，恶意软件通过调试接口读取CPU寄存器中的值，该寄存器正指向内存中的明文主密钥（即`v20_master_key`）。随后，它通过`ReadProcessMemory`函数将密钥完整提取出来。

一旦掌握了这个主密钥，攻击者就能解密Chrome存储的所有敏感信息，包括登录凭证和Cookie。

研究人员分析认为，VoidStealer很可能借鉴了一个名为“ElevationKatz”的开源项目。该项目作为ChromeKatz工具集的一部分，一年多前就公开演示了利用Chrome设计弱点的思路。虽然VoidStealer的代码实现与该项目存在差异，但核心原理基本一致。

目前，谷歌尚未就这一新型绕过手法发表公开评论。这一事件再次表明，随着浏览器安全机制的不断升级，恶意软件的对抗手段也在向更加底层和隐蔽的方向发展。

资讯来源：BleepingComputer、Gen Digital 安全研究报告

声明：本文来自看雪学苑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。