voidstealer chrome'un şifreleme korumasını debugger hilesiyle bypass ediyor
arkadaşlar, yeni bir bilgi çalıcı malware türemiş ortaya. voidstealer diyorlar buna. bu sefer iş biraz ciddi çünkü chrome’un application-bound encryption (abe) denen şifreleme korumasını atlatmayı başarmış. yani chrome’da kayıtlı şifreleriniz, çerezleriniz falan artık güvende değil bu malware sisteme girerse.
olay ne tam olarak
chrome, geçen sene abe diye bir koruma mekanizması getirmişti. mantığı şuydu: tarayıcıda saklanan hassas verileri (şifreler, çerezler, ödeme bilgileri) şifrelemek için bir master key kullanıyor ve bu anahtarı da sadece chrome’un kendi process’i okuyabiliyor. yani teoride bir malware gelip bu anahtarı çalamamalı.
spoiler: voidstealer bunu çözmüş.
nasıl mı? debugger trick kullanarak. şöyle ki:
- malware, chrome process’ine debugger olarak attach oluyor
- chrome’un memory’sinde master key’i arıyor
- bulunca da alıp götürüyor
yani microsoft’un app-bound encryption service’ini (elevation_service.exe) bypass etmiş oluyor. normalde bu servis, master key’i sadece yetkili process’lere veriyor ama debugger olarak girince olay değişiyor.
teknik detaylar
voidstealer şu adımları takip ediyor:
- chrome process’ini buluyor: sistemde çalışan chrome.exe’yi tespit ediyor
- debugger olarak bağlanıyor: windows debug api’lerini kullanarak process’e attach oluyor
- memory’de master key’i arıyor: chrome’un memory’sinde şifreleme anahtarını tarıyor
- hassas verileri çalıyor: master key’i ele geçirdikten sonra:
- kayıtlı şifreler
- çerezler (cookies)
- ödeme bilgileri
- autofill verileri
- session token’ları
dikkat: bu yöntem sadece chrome’da değil, chromium tabanlı tüm tarayıcılarda (edge, brave, opera vb.) çalışıyor.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Chrome (Windows) | ✅ Etkileniyor |
| Edge (Windows) | ✅ Etkileniyor |
| Brave (Windows) | ✅ Etkileniyor |
| Opera (Windows) | ✅ Etkileniyor |
| Chrome (macOS/Linux) | ⚠️ Farklı koruma mekanizması |
ne yapmalısınız
1. antivirüs ve edr çözümlerinizi güncel tutun
# windows defender'ı güncelleyin
Update-MpSignature
# tarama yapın
Start-MpScan -ScanType FullScan
2. şüpheli process’leri kontrol edin
# chrome'a bağlı debugger var mı bakalım
Get-Process chrome | Select-Object -Property Id, Name, @{Name="Debugger";Expression={(Get-Process -Id $_.Id).Handle}}
# şüpheli process'leri listeleyin
Get-Process | Where-Object {$_.ProcessName -like "*stealer*" -or $_.ProcessName -like "*void*"}
3. tarayıcı güvenlik ayarlarını kontrol edin
- chrome://settings/security adresine gidin
- “enhanced protection” modunu aktif edin
- şüpheli uzantıları temizleyin: chrome://extensions
4. şifrelerinizi değiştirin
eğer sisteminizde malware şüphesi varsa:
- önce sistemi temizleyin
- sonra tüm kritik şifrelerinizi değiştirin
- iki faktörlü kimlik doğrulamayı (2fa) aktif edin
5. tarayıcı verilerini temizleyin
# chrome'u kapatın
taskkill /F /IM chrome.exe
# profil klasörünü yedekleyin (ihtiyaten)
# sonra şunları silin:
# %LocalAppData%\Google\Chrome\User Data\Default\Login Data
# %LocalAppData%\Google\Chrome\User Data\Default\Cookies
korunma önerileri
agalar, şu önlemleri almanızı tavsiye ederim:
- şifre yöneticisi kullanın: tarayıcıya şifre kaydetmeyin, bitwarden/1password gibi araçlar kullanın
- edr/xdr çözümü kurun: debugger attachment gibi şüpheli aktiviteleri tespit eder
- least privilege: kullanıcıları admin yetkisiyle çalıştırmayın
- application control: applocker/wdac ile sadece güvenilir uygulamaların çalışmasına izin verin
- network segmentation: kritik sistemleri izole edin
google ne diyor
google’ın güvenlik ekibi bu konuyla ilgili farkında ve çözüm üzerinde çalışıyorlar. abe’nin debugger saldırılarına karşı güçlendirilmesi planlanıyor. ama şu an için tam bir çözüm yok.
edit: google, chrome’un debug modda çalışmasını engelleyen bir koruma üzerinde çalışıyormuş. yakında gelecek güncellemelerde göreceğiz.
saldırı göstergeleri (ioc)
edr/siem’lerinizde şunları arayın:
- chrome.exe process’ine debugger attachment
- elevation_service.exe ile anormal etkileşimler
- %temp% klasöründe şüpheli dosyalar
- network trafiğinde veri sızıntısı (exfiltration)
# event log'larda debugger aktivitesi
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} |
Where-Object {$_.Message -like "*chrome*" -and $_.Message -like "*debug*"}
sonuç
arkadaşlar, bu voidstealer işi ciddi. chrome’un abe korumasını bypass etmesi, tarayıcı tabanlı güvenlik önlemlerinin tek başına yeterli olmadığını gösteriyor. katmanlı güvenlik (defense in depth) şart.
yapmanız gerekenler:
- ✅ antivirüs/edr güncel mi kontrol edin
- ✅ şüpheli process’leri tarıyın
- ✅ tarayıcıya şifre kaydetmeyi bırakın
- ✅ 2fa’yı her yerde aktif edin
- ✅ kullanıcı yetkilerini kısıtlayın
dikkat: bu malware henüz yaygın değil ama yöntem ortaya çıktı. yakında başka varyantları da görürüz muhtemelen.
kaynaklar
- BleepingComputer - VoidStealer malware steals Chrome master key via debugger trick
- Google Chrome Security Blog
- Microsoft - Debug Programs Security Policy
bu yazıda henüz cve numarası atanmamış çünkü bu bir malware tekniği, chrome’da spesifik bir zafiyet değil. google’ın abe mekanizmasının güçlendirilmesi bekleniyor.
soru/sorun olursa yazın, yardımcı olalım. bol şanslar agalar.
Bu içerik yapay zeka tarafından oluşturulmuştur.