一、小白劇場(chǎng)

小白：東哥，最近某社交網(wǎng)絡(luò)出現(xiàn)了一個(gè)事件——一個(gè)專(zhuān)門(mén)竊取社交平臺(tái)的賬戶(hù)信息的邪惡木馬。你聽(tīng)說(shuō)了嗎？

大東：有所耳聞，沒(méi)有想到小白你的消息蠻靈通的嘛！

小白：那當(dāng)然，咱也是懂得開(kāi)源情報(bào)的鐵桿東粉呢，話說(shuō)這是一個(gè)什么樣的木馬病毒呢？

大東：它名為FFDroider，是一種新型木馬病毒程序，能夠?qū)π畔⑦M(jìn)行竊取。

小白：它通過(guò)什么方式來(lái)竊取賬戶(hù)信息呢？

大東：它可以劫持社交媒體賬戶(hù)，通過(guò)利用cookie和憑證，這類(lèi)數(shù)據(jù)一般被受害者存儲(chǔ)在瀏覽器中。

小白：可以詳細(xì)講講這個(gè)木馬病毒的細(xì)節(jié)嗎，東哥？

二、話說(shuō)事件

大東：在2022年4月初，可為云計(jì)算提供安全服務(wù)的美國(guó)某公司研究人員發(fā)現(xiàn)了一種新型惡意軟件，即Win32.PWS.FFDroider的軟件（簡(jiǎn)稱(chēng) FFDroider）。

小白：這款軟件發(fā)動(dòng)過(guò)攻擊事件嗎？

大東：據(jù)該安全研究團(tuán)隊(duì)稱(chēng)，F(xiàn)FDroider模仿了消息應(yīng)用程序Telegram，而后者是被廣泛使用的。為了執(zhí)行攻擊，F(xiàn)FDroider會(huì)首先訪問(wèn)用戶(hù)的設(shè)備，如 PC。之后，F(xiàn)FDroider會(huì)從包括Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge在內(nèi)的瀏覽器竊取cookie和憑證等數(shù)據(jù)。

Telegram應(yīng)用程序（圖片來(lái)自網(wǎng)絡(luò)）

小白：竊取了cookie后，攻擊者會(huì)執(zhí)行哪些攻擊呢？

大東：FFDroider利用盜來(lái)的cookie，幫助攻擊者登錄用戶(hù)的社交媒體平臺(tái)，對(duì)帳戶(hù)信息進(jìn)行提取，之后利用這些信息竊取更多的敏感信息或個(gè)人信息，比如通過(guò)展示虛假?gòu)V告，誘騙用戶(hù)輸入敏感信息，通過(guò)這種手段進(jìn)行進(jìn)一步的攻擊。

小白：這款?lèi)阂廛浖饕獣?huì)針對(duì)哪些平臺(tái)發(fā)動(dòng)攻擊呢？

大東：該公司表示，這款?lèi)阂廛浖?duì)某社交平臺(tái)的攻擊效果最為明顯。另外，其他目標(biāo)還包括電子商務(wù)平臺(tái)如亞馬遜、eBay和Etsy等的用戶(hù)。一旦竊取了用戶(hù)個(gè)人信息，犯罪分子就可以以此進(jìn)行欺詐和盜取金錢(qián)等不法行為。

小白：那該惡意軟件的具體竊取信息的流程是怎樣的呢？

大東：該公司的研究人員對(duì)該惡意軟件的傳播情況進(jìn)行了長(zhǎng)期追蹤，他們研究了最近的樣本，并據(jù)此發(fā)表了一份詳細(xì)的技術(shù)分析。利用在種子網(wǎng)站下載的文件，F(xiàn)FDroider可以傳播，這些文件包括游戲、破解軟件、免費(fèi)軟件在內(nèi)，這一點(diǎn)，和許多其他惡意軟件一樣。

小白：是怎樣進(jìn)行傳播的呢？

大東：在其他文件或軟件的下載過(guò)程中，為了逃避檢測(cè)，F(xiàn)FDroider會(huì)進(jìn)行偽裝，以桌面應(yīng)用程序Telegram形式存在，從而完成安裝。惡意軟件如果被用戶(hù)運(yùn)行，將會(huì)創(chuàng)建一個(gè)Windows注冊(cè)表項(xiàng)，其名字為“FFDroider”。

Zscaler模擬的FFDroider在受感染的系統(tǒng)上創(chuàng)建注冊(cè)表項(xiàng)（圖片來(lái)自網(wǎng)絡(luò)）

小白：注冊(cè)表項(xiàng)之后呢？

大東：cookie和賬戶(hù)憑證是FFDroider的目標(biāo)，這些數(shù)據(jù)通常在瀏覽器內(nèi)存儲(chǔ)，包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge等。

小白：那如何竊取cookie和賬戶(hù)憑證呢？

大東：惡意軟件會(huì)濫用接口Windows Crypt API，具體來(lái)說(shuō)，特別是對(duì)其中函數(shù)CryptUnProtectData的濫用，能夠?qū)崿F(xiàn)對(duì)Chromium SQLite cookie和SQLite Credential存儲(chǔ)的讀取與解析，并解密條目。

小白：對(duì)于其他種類(lèi)的瀏覽器的攻擊方式也一樣嗎？

大東：竊取其他瀏覽器的過(guò)程與之類(lèi)似，舉例來(lái)說(shuō)，為了對(duì)所有存儲(chǔ)在Explorer和Edge中的Cookie進(jìn)行抓取，會(huì)使用功能InternetGetCookieRxW和IEGet ProtectedMode Cookie等。

Zscaler模擬的惡意軟件執(zhí)行功能，從IE中竊取Facebook cookies （圖片來(lái)自網(wǎng)絡(luò)）

小白：竊取了cookies之后呢？

大東：在完成竊取和解密后，該惡意軟件會(huì)通過(guò)HTTP POST請(qǐng)求，把生成的明文用戶(hù)名和密碼泄露給C2服務(wù)器。

該公司模擬的通過(guò)POST請(qǐng)求泄漏被盜數(shù)據(jù)（圖片來(lái)自網(wǎng)絡(luò)）

小白：那FFDroider與其他木馬的區(qū)別在哪里呢？

大東：竊取對(duì)象是它與其他木馬區(qū)別的一點(diǎn)，對(duì)存儲(chǔ)在瀏覽器的所有賬戶(hù)憑證，F(xiàn)FDroider的運(yùn)營(yíng)商不感興趣，而是專(zhuān)注于對(duì)一些有效cookie的竊取，它們可用于在社交媒體賬戶(hù)和電子商務(wù)網(wǎng)站進(jìn)行身份驗(yàn)證在此過(guò)程中，惡意軟件會(huì)進(jìn)行動(dòng)態(tài)測(cè)試。

小白：可以舉個(gè)例子說(shuō)明一下嗎？

大東：舉例來(lái)說(shuō)，F(xiàn)FDroider如果能通過(guò)某社交平臺(tái)的身份驗(yàn)證，就可以從其廣告管理器中獲取各種信息，如所有的頁(yè)面和書(shū)簽，以及和受害者相關(guān)的信息，包括好友數(shù)量、賬單和支付信息等。

小白：進(jìn)而會(huì)發(fā)展更深層次的社交攻擊吧？

大東：沒(méi)錯(cuò)，這些信息可能被威脅參與者利用，進(jìn)一步地，在社交媒體平臺(tái)開(kāi)展欺詐性廣告活動(dòng)，并向更多人推廣他們的惡意軟件。

三、大話始末

小白：FFDroider主要針對(duì)國(guó)外的社交媒體網(wǎng)站，那它對(duì)國(guó)內(nèi)的社交媒體網(wǎng)站有威脅嗎，我們的國(guó)內(nèi)公民信息會(huì)受到威脅嗎？

大東：在該公司分析這起攻擊事件之后，某實(shí)驗(yàn)室也深入分析了該事件中的攻擊技術(shù)，并發(fā)現(xiàn)，針對(duì)國(guó)內(nèi)用戶(hù)，經(jīng)輕微修改，該信息竊取工具就能夠?qū)嵤╊?lèi)似的攻擊，從而竊取國(guó)內(nèi)公民的個(gè)人信息。

小白：他們做了哪些實(shí)驗(yàn)?zāi)兀?/p>

大東：通過(guò)選用研究員的個(gè)人主機(jī)，瀏覽器使用默認(rèn)安全配置，在此條件下，該實(shí)驗(yàn)室進(jìn)行了安全測(cè)試，并發(fā)現(xiàn)使用與該惡意軟件類(lèi)似的技術(shù)手段，可以竊取用戶(hù)的個(gè)人賬號(hào)信息，它們存儲(chǔ)在Taobao/Weibo/QQ等網(wǎng)站的cookie中。

小白：那他們有對(duì)這款?lèi)阂廛浖扇∈裁创胧﹩幔?/p>

大東：該實(shí)驗(yàn)室認(rèn)為，出于進(jìn)一步擴(kuò)大感染范圍的目的，更多的投遞方式會(huì)被攻擊者衍生出，包括利用垃圾郵件和水坑網(wǎng)站等。和該惡意軟件相關(guān)的此類(lèi)威脅應(yīng)被及時(shí)處置，因此，應(yīng)對(duì)其分發(fā)渠道，實(shí)施持續(xù)的長(zhǎng)期監(jiān)控。

小白：既然我們一直在談?wù)摳`取cookie的內(nèi)容，東哥，那我們?cè)倭牧腸ookie都有哪些安全威脅吧。

大東：首先，是對(duì)Cookie的捕獲和重放，通過(guò)使用惡意程序，如跨站腳本、木馬，黑客可以偷竊用戶(hù)的Cookie。如果cookie被捕獲，通過(guò)猜測(cè)訪問(wèn)令牌，黑客可以獲得敏感信息，例如會(huì)話ID、用戶(hù)角色、用戶(hù)名、密碼和時(shí)間戳；或者重放cookie，以便黑客可以偽造受害者的身份并發(fā)動(dòng)攻擊。

小白：還有嗎？

大東：會(huì)話固定（Session Fixation）攻擊會(huì)使受害者在登錄網(wǎng)站時(shí)使用攻擊者的身份，從而竊取會(huì)話信息，這是通過(guò)將攻擊者控制的身份驗(yàn)證Cookie和其他信息注入受害者的主機(jī)來(lái)實(shí)現(xiàn)的。

小白：注入Cookie的方法有哪些呢？

大東：注入Cookie的方法包括：使用惡意程序，如木馬或跨站點(diǎn)腳本；在與合法網(wǎng)站相同的域中偽造假冒網(wǎng)站，并欺騙用戶(hù)訪問(wèn)，把攻擊者自己域的Cookie，通過(guò)HTTP響應(yīng)中的Set-Cookie頭，發(fā)送給用戶(hù)等。

小白：還有其他的威脅么？

大東：還有跨站請(qǐng)求偽造（Cross-Site Request Forgery，簡(jiǎn)稱(chēng)CSRF）攻擊，即攻擊者可能利用網(wǎng)頁(yè)中的惡意代碼，強(qiáng)迫受害者的瀏覽器向被攻擊的Web站點(diǎn)發(fā)送偽造請(qǐng)求，盜取受害者的認(rèn)證Cookie等身份信息，從而假冒受害者對(duì)目標(biāo)站點(diǎn)執(zhí)行指定的操作。

小白：還有嗎？

大東：最后一個(gè)是惡意Cookies。由于Cookies是文本文件，因此，通常認(rèn)為它們不會(huì)構(gòu)成安全威脅。但是，如果通過(guò)特殊的標(biāo)記語(yǔ)言將可執(zhí)行代碼插入cookies，則可能給用戶(hù)帶來(lái)嚴(yán)重安全隱患。

小白：什么樣的隱患呢？

大東：如果cookie包含可執(zhí)行的惡意代碼段，該惡意代碼段將在顯示帶有 cookie 的網(wǎng)頁(yè)時(shí)自動(dòng)執(zhí)行。當(dāng)然，惡意代碼是否真的能造成危害還取決于網(wǎng)站的安全配置策略。

小白：說(shuō)了這么多cookie的威脅，我們有哪些安全防御措施呢？

大東：首先，對(duì)服務(wù)器端，主要的保護(hù)措施有：添加MAC進(jìn)行完整性驗(yàn)證；防止非法用戶(hù)非法攔截后重放，對(duì)相關(guān)信息進(jìn)行用戶(hù)數(shù)字簽名，加強(qiáng)有效性驗(yàn)證；cookie本身采用隨機(jī)密鑰加密，從而保證其信息安全。

小白：對(duì)于客戶(hù)端呢？

大東：對(duì)訪問(wèn)的不同網(wǎng)站，出于保證本地Cookie安全的目的，在客戶(hù)端瀏覽器中都采用了統(tǒng)一Cookie加密，在相應(yīng)系統(tǒng)目錄下，只有一個(gè)與Cookie相關(guān)的加密文件為可見(jiàn)，并且，其中的Cookie文件被瀏覽器加密，用戶(hù)不可見(jiàn)，增強(qiáng)了安全性。

四、小白內(nèi)心說(shuō)

小白：那對(duì)于這個(gè)惡意程序，我們應(yīng)當(dāng)采取哪些防御措施呢？

大東：該惡意軟件的傳播，是利用了受害者安全意識(shí)薄弱這一點(diǎn)，用戶(hù)對(duì)未經(jīng)驗(yàn)證的安裝程序隨意下載，這一行為使該惡意軟件能異常輕松地傳播。

小白：沒(méi)錯(cuò)，我們應(yīng)當(dāng)時(shí)刻提醒自己不要隨意下載軟件。

大東：為了避免類(lèi)似事件發(fā)生，對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，我們需要提高自身安全意識(shí)，盡可能下載官方網(wǎng)站來(lái)源的軟件，對(duì)下載的文件進(jìn)行必要的安全檢查。

小白：對(duì)于事業(yè)單位呢？

大東：為增強(qiáng)企事業(yè)單位內(nèi)部的網(wǎng)絡(luò)安全，首先應(yīng)加強(qiáng)對(duì)員工的培訓(xùn)和教育，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，其次，應(yīng)把終端安全軟件安裝在每一臺(tái)主機(jī)上，并限制單位員工個(gè)人下載安裝程序使用非官網(wǎng)渠道，以保障內(nèi)部網(wǎng)絡(luò)的安全性。

小白：除了這些建議，有沒(méi)有針對(duì)cookie安全進(jìn)行某些安全設(shè)置的建議呢？

大東：我們建議，對(duì)于個(gè)人用戶(hù)，應(yīng)該對(duì)瀏覽器適當(dāng)限制cookie存儲(chǔ)權(quán)限。

瀏覽器Cookie權(quán)限設(shè)置（圖片來(lái)自網(wǎng)絡(luò)）

參考資料：

1. FFDroider佯裝成Telegram攻擊竊取瀏覽器用戶(hù)密碼

https://baijiahao.baidu.com/s?id=1729960853561193927&wfr=spider&for=pc

2. Zscaler：偽裝成電報(bào)應(yīng)用程序的FFDroider惡意軟件會(huì)竊取社交媒體賬號(hào)

https://www.163.com/dy/article/H4RB52HT0511BLFD.html

3. cookie是什么？如何防范劫持？

https://blog.csdn.net/qq_43312649/article/details/119753227

4. FFDroider惡意軟件可竊取國(guó)內(nèi)用戶(hù)隱私數(shù)據(jù)

https://m.sohu.com/a/544985262_121124359/

來(lái)源：中國(guó)科學(xué)院信息工程研究所