၂၇-၁၀-၂၀၁၄ ရက်နေ့မှာ cybersecurity သုတေသနပြုသူ Alexander Hagenah က Google Chrome တွင်အသုံးပြုထားတဲ့ Cookie Encryption System ကို bypass ပြုလုပ်နိုင်တဲ့App-Bound encryption bypass tool ကို သူ့ရဲ့ GitHub မှာ ဖြန့်ဝေလိုက်ပါတယ်။ Tool ကို ဘယ်သူမဆို ယူသုံးနိုင်အောင် source code ကိုပါ မျှဝေလိုက်ခြင်းဖြစ်ပြီး tool နာမည်ကို ‘Chrome-App-Bound-Encryption-Decryption’ လို့ အမည်ပေးထားပါတယ်။
အရင်ကတော့ infostealer (အချက်အလက်ခိုးယူသူ) အများစုသည် Traditional နည်းလမ်းကို အသုံးပြုပေမဲ့ ယခုအခါ ထို tool ကို အလွယ်တကူ ရယူနိုင်တဲ့အတွက် infostealer တွေကြားထဲ အသုံးများလာပါတယ်။ ထို tool ကို ဖြန့်ဝေလိုက်ခြင်းအားဖြင့် Chrome အသုံးပြုသူတွေရဲ့ sensitive data တွေကို ကာကွယ်ဖို့အတွက် အန္တရာယ်တစ်ခုဖြစ်လာပါတယ်။ ဘာလို့လဲဆိုတော့ Chrome အသုံးပြုသူတွေရဲ့ web browser ထဲမှာ သိမ်းထားတဲ့ credentials တွေကို ခိုးယူနိုင်လို့ပဲ ဖြစ်ပါတယ်။
Google ရဲ့ App-Bound encryption ပြဿနာများ
Google အနေနဲ့ Chrome ထဲမှာ အသုံးပြုထားတဲ့ App-Bound encryption ဆိုတာက application-bound security နည်းလမ်းတစ်ခုပါ။ ဒီ feature ကို ၂၀၂၄ ခုနှစ်၊ ဇူလိုင်လတွင် Chrome 127 မှာ စတင်မိတ်ဆက်ခဲ့ပြီး Windows service ကို အသုံးပြုကာ SYSTEM privileges နဲ့ cookies တွေကို encrypt လုပ်ပေးတဲ့ နည်းလမ်းပဲ ဖြစ်ပါတယ်။
App-Bound encryption ရဲ့ ရည်ရွယ်ချက် ကတော့ အသုံးပြုသူရဲ့ sensitive information တွေ( ဥပမာ – cookies၊ အကောင့် login information တွေ) ကို မသမာသူတွေ (အထူးသဖြင့် infostealer) အနေနဲ့ ခိုးယူခြင်းကို ကာကွယ်ပေးဖို့ ဖြစ်ပါတယ်။
Chrome မှာ App-Bound encryption ကို အသုံးပြုထားခြင်းဖြင့် Infostealer တွေ Attacker တွေအနေနဲ့ Windows ရဲ့ System Privileges ကို ရယူဖို့ ဒါမှမဟုတ် Chrome ထဲကို code injection လုပ်ဖို့ လိုအပ်တဲ့အတွက် sensitive infomation တွေကို ခိုးယူနိုင်ဖို့ အနည်းငယ် ခက်ခဲစေပါတယ်။ သို့သော် ယခုအခါ infostealer များစွာက Google ဘက်မှ အသစ်ထပ်ထည့်ထားတဲ့ App-Bound encryption security feature ကို bypass လုပ်နိုင်တဲ့နည်းလမ်းတွေကို ရှာဖွေတီထွင်ပြီး sensitive information တွေကို ခိုးယူရရှိနိုင်ခဲ့ပြီပဲ ဖြစ်ပါတယ်။
Google ဘက်မှ တုံ့ပြန်မှု
Google ဘက်မှ တာဝန်ခံအရာရှိက “Chrome မှာ App-Bound encryption ထည့်သွင်း ခဲ့ခြင်းက အသုံးပြုသူများအား infostealer တွေရန်မှ ကာကွယ်ဖို့ဖြစ်ကြောင်း၊ ကာကွယ်မှုများကို အစဉ်အမြဲ တိုးတက်အောင် လုပ်ဆောင်နေကြောင်း၊ နောက်ဆုံးပေါ် အန္တရာယ်သစ်များကို မှန်ကန်စွာ စိစစ်ရရှိစေရန် Operating System (OS) နှင့် Anti-Virus (AV) ဆော့ဖ်ဝဲထုတ်လုပ်သူ များနှင့် ဆက်လက်လုပ်ဆောင်နေကြောင်း” ပြောကြားခဲ့သည်။
ဒါ့အပြင် ဒီ tool ကို ထုတ်ပြန်မှုအပေါ် Google ဘက်က ပြန်လည်ဖော်ပြခဲ့တာကတော့ ” Tool ရဲ့ Code ဖြစ်တဲ့ xaitax code ဟာ admin privileges လိုအပ်ကြောင်း၊ ဒါကို ကြည့်ခြင်းအားဖြင့် မိမိတို့အနေနဲ့ ဒီလို attack မျိုး အောင်မြင်အောင် လုပ်ဆောင်နိုင်ဖို့ လိုအပ်တဲ့ Access ကို လုံလုံလောက်လောက် တိုးမြှင့်ထားနိုင်ခဲ့ပြီဆိုတာကို ပြသကြောင်း” လို့ ပြန်လည် ဖြေရှင်းခဲ့ပါတယ်။
App-Bound encryption bypass tool အလုပ်လုပ်ပုံ
App-Bound encryption bypass tool ကို အသုံးပြုဖို့ဆိုရင် အသုံးပြုသူတွေက administrator privileges နဲ့ Google Chrome directory (ဥပမာ – \Program Files\Google\ Chrome\Application) ထဲကို executable ဖိုင်ကို ကူးထည့်ရမှာ ဖြစ်ပါတယ်။
ထို Tool က Chrome ရဲ့ COM-based IElevator service ကို အသုံးပြုထားပြီး Chrome ရဲ့ Local State ဖိုင်ထဲမှာ App-Bound Encryption (ABE)နဲ့ encrypted လုပ်ထားတဲ့ keys တွေကို decrypt လုပ်ပေးနိုင်ပြီး unauthorized access ကနေမှတစ်ဆင့် secure data တွေ (cookie, password နဲ့ payment information) တွေကို ခိုးယူနိုင်ပါတယ်။
Tool အပေါ် ပညာရှင်များ၏ သုံးသပ်အကြံပြုချက်
Chrome ရဲ့ ဖြစ်ပေါ်လာတဲ့ security impact အပေါ် သုတေသနပြုသူ g0njxa (https://x.com/g0njxa?t=i4w6KjH7_VDX47QFwE3ytA&s=09) က “ယခုအချိန်တွင် infostealers များဟာ Hagenah ရဲ့ tool ကို အသုံးပြီး Google Chrome ဗားရှင်းအားလုံးမှ cookies များကို ခိုးယူနိုင်ဖို့ Bypass ပြုလုပ်နိုင်နေပြီဖြစ်ကြောင်း၊ သို့သော် Google သည် ယင်းအလားတူ အန္တရာယ်များအပေါ် ဆောင်ရွက်မှုမပြုရသေးကြောင်း၊ Chrome တွင် သိမ်းဆည်းထားသော အသုံးပြုသူ၏ လျှို့ဝှက်ချက်များကို အသစ် အသစ်သော Tool များကို အသုံးပြုခြင်းဖြင့် လွယ်ကူစွာ ခိုးယူနိုင်သေးကြောင်း” ပြောကြားခဲ့ပါတယ်။
ထို့အပြင် Toyota Malware Analyst တစ်ဦးဖြစ်တဲ့ Russian Panda (https://x.com/RussianPanda9xx?t=hrCdYvQ0TpLF5FUc_86bew&s=09)ကလဲ “Hagenah ရဲ့ နည်းလမ်းဟာ Chrome တွင် App-Bound encryption ကို ပထမဆုံး စတင်ထည့်သွင်းသော အချိန်က infostealers များ စတင်အသုံးပြုခဲ့သည့် bypassing နည်းလမ်းများနှင့် ဆင်တူ ကြောင်း” အတည်ပြု ပြောကြားခဲ့ပါတယ်။
နိဂုံး
App-Bound encryption bypass tool ဟာ ဆိုရင်ဖြင့်admin privileges လိုအပ်တယ်ဆိုတာ အမှန်ဖြစ်ပေမဲ့ အချက်အလက်များ ခိုးယူနိုင်သော malware အစီအစဉ်များကို ထို tool က အထောက်အပံ့ပေးနိုင်နေတာပဲဖြစ်ပါတယ်။ လွန်ခဲ့သော ၆ လ အတွင်းကို ကြည့်မယ်ဆိုရင် zero-day vulnerabilities, fake fixes to GitHub issue နဲ့ answers on StackOverflow အသုံးပြုသူတွေကို target ထားပြီး အချက်အလက် ခိုးယူမှုတွေ များပြား လာနေတာပဲ ဖြစ်ပါတယ်။
Reference: https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
ဘာသာပြန်ရေးသားသူ – ချယ်စု (ITCSTC)