前言
任何用戶數據都是網絡犯罪分子的攻擊目標。原因很簡單,幾乎所有的用戶信息都可以貨幣化。例如,被盜的金融賬戶可以用來直接轉移資金到網絡犯罪賬戶、訂購商品或服務;如果犯罪分子不想自己使用,倒賣給其他人也可以大賺一筆。因此,標題中的百萬不僅僅指用戶被盜的數據數量之巨,其可以產生的經濟價值也是難以計算的。
這種對被盜數據的渴望得到了統計數據的證實:在2019年上半年,超過94萬用戶受到惡意軟件的攻擊,這些惡意軟件旨在收集電腦上的各種數據。
2019年上半年攻擊用戶的隱形木馬之地理分佈
在過去的六個月中,我們在俄羅斯、德國、印度、巴西、美國和意大利的用戶中檢測到的此類惡意軟件最多。
我們的哪些信息被偷了?
這個類型的惡意軟件經常在暗網論壇上被吹捧。每個供應商都會宣稱他們的產品是最有效和擁有最多功能的,並儘可能描述了其功能的廣泛範圍。
根據我們對這種威脅的分析,一個普通的惡意軟件可以完成以下工作:
從瀏覽器收集這些數據
密碼
自動填充用戶數據
付款銀行卡
cookies
複製這些文件
特定目錄(如桌面)中的所有文件
具有特定擴展名(TXT、DOCX)的文件
特定應用程序的文件(加密貨幣錢包、messenger會話文件)
提取這些系統數據
操作系統版本
用戶名
IP地址
其他
從各種應用程序(FTP客戶機、VPN、RDP等)竊取帳戶
截屏
從網上下載的文件
而最多功能的樣本(例如Azorult)會對受害者的電腦和數據進行完整的複製:
Azorult所複製的數據
* 完整的系統信息(已安裝程序列表、正在運行的進程、用戶/計算機名稱、系統版本)
* 硬件規格(顯卡、CPU、顯示器)
* 幾乎所有已知瀏覽器的密碼、付款卡、cookie、瀏覽歷史記錄(超過30個)
* 即時通訊文件(Skype, Telegram)
* Steam遊戲客戶端文件
* 截圖
*由“掩碼”指定的文件(例如,掩碼%USERPROFILE%\Desktop\ *.txt,*.jpg,*.png,*.zip,*.rar,*.doc表示從受害者的桌面指定擴展名的所有文件都要發送給惡意軟件操作員)
讓我們仔細看看最後一點。爲什麼要收集文本文件,或者更奇怪的是,爲什麼要收集桌面上的所有文件?事實上,用戶最需要的文件通常存儲在那裏。其中很可能包括一個包含常用密碼的文本文件。或者,例如,包含受害者僱主的機密數據的工作文件。
2019年上半年受Trojan-PSW.Win32.Azorult攻擊的用戶地理分佈
上述特性幫助Azorult成爲傳播最廣的木馬病毒之一,在所有遇到Trojan-PSW類型惡意軟件的用戶中,超過25%的用戶的電腦上都檢測到了這種病毒。
在購買(或開發)惡意軟件後,網絡犯罪分子開始大肆傳播它。大多數情況下是通過發送帶有惡意附件的電子郵件來實現的(例如帶有惡意宏的office文檔——這些宏反過來又下載了木馬)。此外,當僵屍網絡接收到下載並運行特定的竊取木馬的命令時,竊取者可以通過僵屍網絡進行分發。
如何從瀏覽器竊取密碼
當涉及到竊取瀏覽器數據(密碼、銀行卡詳細信息、自動填充數據)時,所有的盜竊者的行爲方式基本相同。
谷歌Chrome和基於Chrome的瀏覽器
在基於Chromium開放源代碼的瀏覽器中,保存的密碼受DPAPI(數據保護API)保護。瀏覽器以此爲目的將其存儲在SQLite數據庫中。只有創建密碼的OS用戶才能從數據庫中檢索密碼,而且只能在加密密碼的計算機上檢索。這是由特定的加密實確保的,加密密鑰以特定的形式存儲關於計算機和系統用戶的信息。如果沒有特殊的應用程序協助,普通用戶不能在瀏覽器之外使用這些數據。
但這一切都不是一個已經滲透到電腦中的小偷的障礙,因爲它擁有上述操作系統的用戶權限。在這種情況下,提取瀏覽器中保存的所有數據的過程如下:
基於Chromium開放源代碼的瀏覽器
* 檢索數據庫文件。基於chrome的瀏覽器將此文件存儲在標準且不可更改的路徑中。爲了避免訪問問題(例如如果瀏覽器正在使用它),竊取者可以將文件複製到另一個位置,或者終止所有瀏覽器進程。
* 讀取加密數據。如前所述,瀏覽器使用SQLite數據庫,可以使用標準工具從其中讀取數據。
* 解密數據。根據上面描述的數據保護原則,竊取數據庫文件本身並不能幫助保存數據,因爲解密必須在用戶的計算機上進行。但這不是問題,因爲解密是通過調用CryptUnprotectData函數直接在受害者的計算機上執行的。網絡罪犯不需要額外的數據——DPAPI自己可以完成所有的事情,因爲這個指令是代表系統用戶下發的。結果就是,該函數將以正常可讀的形式返回密碼。
竊取者木馬Arkei的代碼示例(從基於chrome的瀏覽器獲得的數據的解密)
就是這樣!已保存的密碼、銀行卡詳細信息和瀏覽歷史記錄都將被檢索並準備發送到網絡犯罪服務器。
Firefox和基於它的瀏覽器
基於Firefox的瀏覽器中的密碼加密與Chromium中的密碼加密略有不同,但是對於竊取者來說,獲取密碼的過程同樣簡單。
在Firefox瀏覽器中,加密使用網絡安全服務(一組用於開發安全應用程序的Mozilla庫)和nss3.dll庫。
與基於chrome的瀏覽器一樣,從加密存儲中檢索數據也可以通過同樣簡單的操作完成,但有一些附帶條件:
基於Firefox的瀏覽器
* 檢索數據庫文件。Firefox派生的瀏覽器與基於Chromium的瀏覽器不同,它生成一個隨機的用戶配置文件名稱,這使得具有加密數據的文件的位置事先不可知。然而,由於入侵者知道帶有用戶概要文件的文件夾的路徑,因此對它們進行排序以檢查具有特定名稱的文件並不困難(具有加密數據的文件的名稱不依賴於用戶並且總是相同的)。此外,即使用戶刪除了瀏覽器,這些數據仍然可以保留,這是一些竊取者經常(例如KPOT)利用的一項。
* 讀取加密數據。數據可以以Chromium (SQLite格式)的形式存儲,也可以以JSON文件的形式存儲,其中的字段包含加密的數據。
* 解密數據。爲了解密數據,竊取者必須加載nss3.dll庫,然後調用幾個函數,以可讀的形式獲得解密後的數據。一些竊取器具有直接處理瀏覽器文件的功能,這允許它們獨立於這個庫,即使瀏覽器已經卸載,它們也可以進行操作。但是,應該注意的是,如果數據保護功能與主密碼一起使用,那麼在不知道(或強行破譯)該密碼的情況下解密是不可能的。不幸的是,這個功能在默認情況下是禁用的,啓用它需要在settings菜單中進行深度搜索。
盜竊者木馬Orion代碼示例(基於Firefox的瀏覽器數據解密)
(again)就是這樣!已保存的密碼、銀行卡詳細信息和瀏覽歷史記錄都將被檢索並準備發送到網絡犯罪服務器。
Internet Explorer和Microsoft Edge
在Internet Explorer版本 4.x — 6.0中,保存的密碼和自動填寫的數據都存儲在所謂的保護存儲器中。要檢索它們(不僅是IE數據,還有使用這種存儲的其他應用程序的數據),竊取者需要加載pstorecl .dll庫,並通過簡單的列表以開放的形式獲取所有數據。
Internet Explorer 7和8使用稍微不同的方法:所使用的存儲稱爲憑據存儲,使用salt執行加密。不幸的是,這種salt是相同的,並且衆所周知,所以竊取者可以通過調用與上面相同的CryptUnprotectData函數再次獲得所有保存的密碼。
Internet Explorer 9和Microsoft Edge使用一種名爲Vault的新存儲類型。然而,就數據獲取而言,它並沒有帶來什麼安全保障:偷取者裝載vaultcli.dll,從中調用多個函數,並檢索所有保存的數據。
因此,即使對數據存儲方法進行一系列更改,也不能阻止數據被竊取者讀取。
一些有趣的事實
木馬家族中的代碼借用/重用
安全專家在分析了新的惡意軟件樣本後發現,以前在其他家族的樣本中見過的代碼反覆出現。這可能是因爲這些惡意軟件有一羣共同的開發人員,他們完成了一個項目並將其作爲另一個項目的基礎。例如,正如他們的賣家所指出的,Arkei 和Nocturnal可能擁有同樣的幕後推手。
這種相似性的另一個原因可能是代碼借用。Arkei的源代碼是由作者在這些論壇上出售的,並且可能已經成爲另一個惡意軟件Vidar的基礎。這些木馬有很多共同點,例如從數據收集技術和接收命令的格式到發送到C&C中心的數據結構。
受歡迎的木馬有時不需要太多的專業知識
儘管有大量的多功能竊取器,但是專門用來偷取特定信息的木馬卻有一定的需求。例如,惡意軟件Trojan-PSW.MSIL.Cordis的任務僅僅是從Discord*會話中竊取數據。這個木馬的源代碼非常簡單,包括搜索和發送文件到C&C中心的指令代碼。
*Discord是一種很受玩家歡迎的即時通訊工具類似於微信/QQ。
Cordis的代碼示例
這種木馬通常不出售,而是以源代碼的形式提供給任何人編譯;因此它們是相對常見的。
2019年上半年受Trojan-PSW.MSIL.Cordis攻擊的用戶的地理分佈
結論
用戶通常將所有關鍵數據委託給瀏覽器。畢竟,在需要的字段中自動填寫密碼和銀行卡詳細信息是很方便的。但我們建議不要這麼做,因爲它們使用的保護方法太過簡單,根本不是當前惡意軟件的對手。
對瀏覽器數據如飢似渴的惡意程序發展趨勢絲毫沒有放緩。現在的黑客木馬都在積極地支持、更新和補充新功能,例如新增從生成一次性訪問代碼的應用程序中竊取2FA數據的能力。
我們建議使用專門的軟件來存儲在線賬戶密碼和銀行卡信息,或者使用適當的技術來解決安全問題。不要下載或運行可疑文件,不要點擊可疑電子郵件中的鏈接,並遵守我們反反覆覆強調的所有安全上網規範。
— end —
安全之道,青松知道