Google heeft een interessante methode beschreven hoe systeembeheerders via Windows Event-logs kunnen ontdekken of er tijdens een malware-aanval gevoelige informatie zoals wachtwoorden en cookies uit Chromium-gebaseerde browsers zijn gestolen. Deze browsers op Windows maken gebruik van de Data Protection API (DPAPI) om lokale geheimen zoals wachtwoorden en cookies te beschermen.

Om de data te beschermen, gebruikt DPAPI een sleutel die wordt afgeleid van de inloggegevens van de gebruiker. Hierdoor wordt voorkomen dat andere gebruikers op het systeem toegang kunnen krijgen tot de gegevens van de gebruiker, zelfs als het systeem is uitgeschakeld. Echter, omdat het DPAPI geheim is verbonden aan de ingelogde gebruiker, biedt het geen bescherming tegen lokale malware-aanvallen. Malware op het systeem kan namelijk dezelfde API’s gebruiken als de browser om het DPAPI geheim te bemachtigen.

DPAPI gebeurtenissen kunnen op diverse locaties in Windows worden gelogd, waardoor kan worden vastgesteld of de gegevens daadwerkelijk uit de browser zijn gestolen. Will Harris van het Chrome Security Team legt in een informatieve blogpost uit hoe dit moet worden gedaan en adviseert het inschakelen van deze logging.

“Het is helaas niet mogelijk om het stelen van inloggegevens en cookies door malware volledig te voorkomen, maar door het inschakelen van loganalysetools wordt de aanval beter zichtbaar voor antivirusprogramma’s, endpoint detection agents en systeembeheerders,” aldus Harris. Hij voegt toe dat door de kans te vergroten dat een aanval wordt opgemerkt, aanvallers die onopgemerkt willen blijven wellicht een andere afweging zullen maken voordat ze dit soort aanvallen uitvoeren.