来自Web浏览器的凭据

对手可能通过读取特定于目标浏览器的文件获取Web浏览器中的凭据。(引用: Talos Olympic Destroyer 2018) Web浏览器通常会保存凭据，如网站用户名和密码，以便将来无需手动输入。Web浏览器通常将凭据以加密格式存储在凭据存储中；然而，存在从Web浏览器中提取明文凭据的方法。 例如，在Windows系统上，可以通过读取数据库文件AppData\Local\Google\Chrome\User Data\Default\Login Data并执行SQL查询SELECT action_url, username_value, password_value FROM logins;获取Google Chrome的加密凭据。然后可以通过将加密凭据传递给Windows API函数CryptUnprotectData来获取明文密码，该函数使用受害者缓存的登录凭据作为解密密钥。(引用: Microsoft CryptUnprotectData April 2018) 对手已经对常见的Web浏览器（如FireFox、Safari、Edge等）执行了类似的程序。(引用: Proofpoint Vega Credential Stealer May 2018)(引用: FireEye HawkEye Malware July 2017) Windows将Internet Explorer和Microsoft Edge凭据存储在由Windows凭据管理器管理的凭据锁中。 对手还可能通过搜索Web浏览器进程内存中的常见匹配凭据的模式获取凭据。(引用: GitHub Mimikittenz July 2016) 在获取Web浏览器中的凭据后，对手可能会尝试在不同系统和/或帐户中重复使用这些凭据，以扩展访问权限。在凭据与特权帐户（例如域管理员）重叠的情况下，这可能显著推进对手的目标。