СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

Vidar обходят ABE: кража ключей из памяти браузера

Активно развиваемый стиллер Vidar применяет новые методы обхода Application-Bound Encryption (ABE), делая ставку на извлечение v20_master_key не с диска, а непосредственно из памяти браузера. Такой подход позволяет вредоносному ПО обходить слои защиты, встроенные в современные Chromium-based browsers, и получать доступ к данным, защищённым и привязанным к конкретным приложениям.

Ключ v20_master_key играет критически важную роль: именно он необходим для расшифровки информации, защищённой ABE. По данным отчёта, Vidar использует многоступенчатую схему, которая сочетает анализ памяти, process cloning и APC injection, чтобы добиться расшифровки без прямого чтения защищённых данных с диска.

Поиск ключа в памяти вместо диска

В отличие от классических техник, при которых вредоносное ПО пытается добраться до ключа на диске, Vidar ориентируется на память браузера. Сценарий начинается с определения целевого browser process: если браузер уже запущен, Vidar использует его экземпляр; если нет — создаёт новый.

Далее вредоносная программа форкает существующий процесс браузера, не обращаясь к его памяти напрямую. Вместо этого она получает статический снимок процесса с помощью NtCreateProcessEx. После этого Vidar перечисляет memory regions через NtQueryVirtualMemory и отбирает области, которые соответствуют его критериям: они должны быть выделенными, private и либо readable, либо readable and writable.

Шаблонный поиск по структурам Chromium

Для обнаружения потенциального v20_master_key Vidar использует signature-based search с предопределённой 32-byte signature. Целью становятся внутренние структуры узлов, в частности механизмы Encryptor::KeyRing в Chromium.

Когда найден потенциальный кандидат на ключ, возникает следующая проблема: расшифровка возможна только в контексте самого браузера из-за защит CryptProtectMemory. Именно здесь Vidar переходит к следующему этапу атаки.

APC injection для расшифровки ключа

Чтобы выполнить расшифровку, Vidar использует Asynchronous Procedure Calls (APC) и внедряет код в живой процесс браузера. Метод внедрения зависит от наличия на системе определённых антивирусных продуктов, включая ESET и Bitdefender.

  • Если обнаружен ESET или Bitdefender, Vidar применяет более традиционный подход: создаёт приостановленный thread и ставит APC в очередь.
  • Если указанные продукты не обнаружены, используется более специализированный вариант — задействуются уже существующие Threads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) для немедленного выполнения APC без перевода потока в alertable state.

При выполнении APC функция CryptUnprotectMemory расшифровывает ключ непосредственно в памяти. Таким образом, Vidar получает доступ к значению, которое ранее было защищено средствами Windows.

Проверка результата и повторные попытки

После расшифровки Vidar проверяет успешность операции. Для этого он повторно создаёт дочерний browser process и сравнивает значения до и после вызова APC. Затем вредоносная программа пытается использовать полученный ключ для аутентификации записей, сканируя данные на наличие byte sequence, характерной для ABE.

Если ключ действительно расшифровывает записи, Vidar сохраняет обновлённое состояние ключа в памяти с помощью CryptProtectMemory. Если попытка неудачна, и расшифровка не срабатывает после нескольких итераций, вредонос завершает текущую сессию, перезапускает браузер и повторяет весь процесс заново.

Почему это важно

Использование APC injection делает технику Vidar менее типичной и потенциально более скрытной. В сочетании с ориентацией на memory-level extraction это позволяет стиллеру обходить традиционные средства обнаружения и адаптироваться к защитным механизмам ABE.

Как следует из отчёта, Vidar продолжает эволюционировать, комбинируя системные API Windows, процессные техники и точечное внедрение кода. Такой подход демонстрирует, что современные стиллеры всё чаще смещают фокус с диска на память и используют всё более изощрённые методы для кражи защищённых данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: