跳转至

T1555-003-windows-来自web浏览器的凭证

来自ATT&CK的描述

在后渗透阶段,获得权限之后攻击者需要收集目标系统上的相关信息,收集的信息越全面详细,对攻击者的进一步渗透帮助更大。对于windows系统来讲,用户浏览器往往包含着有价值的信息。

攻击者可以通过读取特定目标服务器上的浏览器文件来从Web浏览器获取凭据。 Web浏览器通常会保存凭据,例如网站用户名和密码,以便将来无需手动输入它们,实现自动登录。Web浏览器通常将凭据以加密格式存储在凭据存储区中。但是,存在从Web浏览器中提取纯文本凭据的方法。

例如,在Windows系统上,可以通过读取数据库文件AppData\Local\Google\Chrome\User Data\Default\Login Data并执行SQL查询来从Google Chrome获得加密的凭据SELECT action_url, username_value, password_value FROM logins;。然后,可以通过将加密的凭据传递给Windows API函数来获取纯文本密码CryptUnprotectData,该函数使用受害者的缓存登录凭据作为解密密钥。

攻击者可以对常见的Web浏览器(例如FireFox,Chrome,Edge等)执行了类似的程序。除此之外,攻击者还可以通过在Web浏览器进程内存中搜索,通常与凭据匹配的模式来获取凭据。从网络浏览器获取凭据后,攻击者可能会尝试在不同系统或帐户之间回收凭据,以扩大访问范围。在从Web浏览器获得的凭据与特权帐户(例如域管理员)重叠的情况下,这可以大大缩短攻击者的攻击时间。

不同的浏览器,默认缓存存储的位置不同。

  • Chrome默认账户密码凭据存放位置:%LocalAppData%\Google\Chrome\User Data\Default\Login Data
  • Firefox默认账户密码凭据存放位置:key3.db和logins.json文件均位于%APPDATA%\Mozilla\Firefox\Profiles\[random_profile]目录下
  • Opera默认账户密码凭据存放位置:C:\Users\***\AppData\Local\Opera Software\Opera Stable(其中***为系统用户名)

测试案例

暂无,msf可进行相关测试

检测日志

windows 安全日志

测试复现

测试留痕

windows 安全日志 事件ID:4633 值得注意的是:正常情况下不会有用户选择导出web浏览器缓存凭据。当网内出现此类告警事件,值得引起安全人员的警惕!

此事件ID只有2016以上版本系统存在。

检测规则/思路

sigma规则

title: windows系统 web浏览器获取凭证
description: windows server 2016 测试结果
references: 暂无
tags: T1555-003
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4663 #试图访问对象。
        Objectserver: Security #对象>对象服务器
        Objecttype: file #对象>对象类型
        Objectname:
           - 'C:\users\*\appdata\roaming\opera software\opera stable\login data' #对象>对象名 Opera
           - 'C:\Users\IEUser\AppData\Roaming\Mozilla\Firefox\Profiles\kushu3sd.default\key4.db' #Firefox
           - 'C:\Users\IEUser\AppData\Roaming\Mozilla\Firefox\Profiles\kushu3sd.default\logins.json' #Firefox
           - 'C:\Users\IEUser\AppData\Local\Google\Chrome\User Data\Default\Login Data' #Chrome
        Access: ReadData (或listdirectory) #访问请求信息>访问
    condition: selection
level: medium

建议

规则未经过实际测试,谨慎使用

相关TIP

[[T1555-005-win-常见凭据存放位置]] [[T1555-005-win-cmdkey获取凭据(白名单)]]

参考推荐

MITRE-ATT&CK-T1555-003

https://attack.mitre.org/techniques/T1555/003/

如何窃取和解密远程存储在Chrome和Firefox中的密码

https://null-byte.wonderhowto.com/how-to/hacking-windows-10-steal-decrypt-passwords-stored-chrome-firefox-remotely-0183600/