一、小白劇場

小白：東哥，最近某社交網(wǎng)絡(luò)出現(xiàn)了一個(gè)事件——一個(gè)專門竊取社交平臺的賬戶信息的邪惡木馬。你聽說了嗎？

大東：有所耳聞，沒有想到小白你的消息蠻靈通的嘛！

小白：那當(dāng)然，咱也是懂得開源情報(bào)的鐵桿東粉呢，話說這是一個(gè)什么樣的木馬病毒呢？

大東：它名為FFDroider，是一種新型木馬病毒程序，能夠?qū)π畔⑦M(jìn)行竊取。

小白：它通過什么方式來竊取賬戶信息呢？

大東：它可以劫持社交媒體賬戶，通過利用cookie和憑證，這類數(shù)據(jù)一般被受害者存儲在瀏覽器中。

小白：可以詳細(xì)講講這個(gè)木馬病毒的細(xì)節(jié)嗎，東哥？

二、話說事件

大東：在2022年4月初，可為云計(jì)算提供安全服務(wù)的美國某公司研究人員發(fā)現(xiàn)了一種新型惡意軟件，即Win32.PWS.FFDroider的軟件（簡稱 FFDroider）。

小白：這款軟件發(fā)動(dòng)過攻擊事件嗎？

大東：據(jù)該安全研究團(tuán)隊(duì)稱，F(xiàn)FDroider模仿了消息應(yīng)用程序Telegram，而后者是被廣泛使用的。為了執(zhí)行攻擊，F(xiàn)FDroider會首先訪問用戶的設(shè)備，如 PC。之后，F(xiàn)FDroider會從包括Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge在內(nèi)的瀏覽器竊取cookie和憑證等數(shù)據(jù)。

Telegram應(yīng)用程序（圖片來自網(wǎng)絡(luò)）

小白：竊取了cookie后，攻擊者會執(zhí)行哪些攻擊呢？

大東：FFDroider利用盜來的cookie，幫助攻擊者登錄用戶的社交媒體平臺，對帳戶信息進(jìn)行提取，之后利用這些信息竊取更多的敏感信息或個(gè)人信息，比如通過展示虛假廣告，誘騙用戶輸入敏感信息，通過這種手段進(jìn)行進(jìn)一步的攻擊。

小白：這款惡意軟件主要會針對哪些平臺發(fā)動(dòng)攻擊呢？

大東：該公司表示，這款惡意軟件對某社交平臺的攻擊效果最為明顯。另外，其他目標(biāo)還包括電子商務(wù)平臺如亞馬遜、eBay和Etsy等的用戶。一旦竊取了用戶個(gè)人信息，犯罪分子就可以以此進(jìn)行欺詐和盜取金錢等不法行為。

小白：那該惡意軟件的具體竊取信息的流程是怎樣的呢？

大東：該公司的研究人員對該惡意軟件的傳播情況進(jìn)行了長期追蹤，他們研究了最近的樣本，并據(jù)此發(fā)表了一份詳細(xì)的技術(shù)分析。利用在種子網(wǎng)站下載的文件，F(xiàn)FDroider可以傳播，這些文件包括游戲、破解軟件、免費(fèi)軟件在內(nèi)，這一點(diǎn)，和許多其他惡意軟件一樣。

小白：是怎樣進(jìn)行傳播的呢？

大東：在其他文件或軟件的下載過程中，為了逃避檢測，F(xiàn)FDroider會進(jìn)行偽裝，以桌面應(yīng)用程序Telegram形式存在，從而完成安裝。惡意軟件如果被用戶運(yùn)行，將會創(chuàng)建一個(gè)Windows注冊表項(xiàng)，其名字為“FFDroider”。

Zscaler模擬的FFDroider在受感染的系統(tǒng)上創(chuàng)建注冊表項(xiàng)（圖片來自網(wǎng)絡(luò)）

小白：注冊表項(xiàng)之后呢？

大東：cookie和賬戶憑證是FFDroider的目標(biāo)，這些數(shù)據(jù)通常在瀏覽器內(nèi)存儲，包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge等。

小白：那如何竊取cookie和賬戶憑證呢？

大東：惡意軟件會濫用接口Windows Crypt API，具體來說，特別是對其中函數(shù)CryptUnProtectData的濫用，能夠?qū)崿F(xiàn)對Chromium SQLite cookie和SQLite Credential存儲的讀取與解析，并解密條目。

小白：對于其他種類的瀏覽器的攻擊方式也一樣嗎？

大東：竊取其他瀏覽器的過程與之類似，舉例來說，為了對所有存儲在Explorer和Edge中的Cookie進(jìn)行抓取，會使用功能InternetGetCookieRxW和IEGet ProtectedMode Cookie等。

Zscaler模擬的惡意軟件執(zhí)行功能，從IE中竊取Facebook cookies （圖片來自網(wǎng)絡(luò)）

小白：竊取了cookies之后呢？

大東：在完成竊取和解密后，該惡意軟件會通過HTTP POST請求，把生成的明文用戶名和密碼泄露給C2服務(wù)器。

該公司模擬的通過POST請求泄漏被盜數(shù)據(jù)（圖片來自網(wǎng)絡(luò)）

小白：那FFDroider與其他木馬的區(qū)別在哪里呢？

大東：竊取對象是它與其他木馬區(qū)別的一點(diǎn)，對存儲在瀏覽器的所有賬戶憑證，F(xiàn)FDroider的運(yùn)營商不感興趣，而是專注于對一些有效cookie的竊取，它們可用于在社交媒體賬戶和電子商務(wù)網(wǎng)站進(jìn)行身份驗(yàn)證在此過程中，惡意軟件會進(jìn)行動(dòng)態(tài)測試。

小白：可以舉個(gè)例子說明一下嗎？

大東：舉例來說，F(xiàn)FDroider如果能通過某社交平臺的身份驗(yàn)證，就可以從其廣告管理器中獲取各種信息，如所有的頁面和書簽，以及和受害者相關(guān)的信息，包括好友數(shù)量、賬單和支付信息等。

小白：進(jìn)而會發(fā)展更深層次的社交攻擊吧？

大東：沒錯(cuò)，這些信息可能被威脅參與者利用，進(jìn)一步地，在社交媒體平臺開展欺詐性廣告活動(dòng)，并向更多人推廣他們的惡意軟件。

三、大話始末

小白：FFDroider主要針對國外的社交媒體網(wǎng)站，那它對國內(nèi)的社交媒體網(wǎng)站有威脅嗎，我們的國內(nèi)公民信息會受到威脅嗎？

大東：在該公司分析這起攻擊事件之后，某實(shí)驗(yàn)室也深入分析了該事件中的攻擊技術(shù)，并發(fā)現(xiàn)，針對國內(nèi)用戶，經(jīng)輕微修改，該信息竊取工具就能夠?qū)嵤╊愃频墓簦瑥亩`取國內(nèi)公民的個(gè)人信息。

小白：他們做了哪些實(shí)驗(yàn)?zāi)兀?/p>

大東：通過選用研究員的個(gè)人主機(jī)，瀏覽器使用默認(rèn)安全配置，在此條件下，該實(shí)驗(yàn)室進(jìn)行了安全測試，并發(fā)現(xiàn)使用與該惡意軟件類似的技術(shù)手段，可以竊取用戶的個(gè)人賬號信息，它們存儲在Taobao/Weibo/QQ等網(wǎng)站的cookie中。

小白：那他們有對這款惡意軟件采取什么措施嗎？

大東：該實(shí)驗(yàn)室認(rèn)為，出于進(jìn)一步擴(kuò)大感染范圍的目的，更多的投遞方式會被攻擊者衍生出，包括利用垃圾郵件和水坑網(wǎng)站等。和該惡意軟件相關(guān)的此類威脅應(yīng)被及時(shí)處置，因此，應(yīng)對其分發(fā)渠道，實(shí)施持續(xù)的長期監(jiān)控。

小白：既然我們一直在談?wù)摳`取cookie的內(nèi)容，東哥，那我們再聊聊cookie都有哪些安全威脅吧。

大東：首先，是對Cookie的捕獲和重放，通過使用惡意程序，如跨站腳本、木馬，黑客可以偷竊用戶的Cookie。如果cookie被捕獲，通過猜測訪問令牌，黑客可以獲得敏感信息，例如會話ID、用戶角色、用戶名、密碼和時(shí)間戳；或者重放cookie，以便黑客可以偽造受害者的身份并發(fā)動(dòng)攻擊。

小白：還有嗎？

大東：會話固定（Session Fixation）攻擊會使受害者在登錄網(wǎng)站時(shí)使用攻擊者的身份，從而竊取會話信息，這是通過將攻擊者控制的身份驗(yàn)證Cookie和其他信息注入受害者的主機(jī)來實(shí)現(xiàn)的。

小白：注入Cookie的方法有哪些呢？

大東：注入Cookie的方法包括：使用惡意程序，如木馬或跨站點(diǎn)腳本；在與合法網(wǎng)站相同的域中偽造假冒網(wǎng)站，并欺騙用戶訪問，把攻擊者自己域的Cookie，通過HTTP響應(yīng)中的Set-Cookie頭，發(fā)送給用戶等。

小白：還有其他的威脅么？

大東：還有跨站請求偽造（Cross-Site Request Forgery，簡稱CSRF）攻擊，即攻擊者可能利用網(wǎng)頁中的惡意代碼，強(qiáng)迫受害者的瀏覽器向被攻擊的Web站點(diǎn)發(fā)送偽造請求，盜取受害者的認(rèn)證Cookie等身份信息，從而假冒受害者對目標(biāo)站點(diǎn)執(zhí)行指定的操作。

小白：還有嗎？

大東：最后一個(gè)是惡意Cookies。由于Cookies是文本文件，因此，通常認(rèn)為它們不會構(gòu)成安全威脅。但是，如果通過特殊的標(biāo)記語言將可執(zhí)行代碼插入cookies，則可能給用戶帶來嚴(yán)重安全隱患。

小白：什么樣的隱患呢？

大東：如果cookie包含可執(zhí)行的惡意代碼段，該惡意代碼段將在顯示帶有 cookie 的網(wǎng)頁時(shí)自動(dòng)執(zhí)行。當(dāng)然，惡意代碼是否真的能造成危害還取決于網(wǎng)站的安全配置策略。

小白：說了這么多cookie的威脅，我們有哪些安全防御措施呢？

大東：首先，對服務(wù)器端，主要的保護(hù)措施有：添加MAC進(jìn)行完整性驗(yàn)證；防止非法用戶非法攔截后重放，對相關(guān)信息進(jìn)行用戶數(shù)字簽名，加強(qiáng)有效性驗(yàn)證；cookie本身采用隨機(jī)密鑰加密，從而保證其信息安全。

小白：對于客戶端呢？

大東：對訪問的不同網(wǎng)站，出于保證本地Cookie安全的目的，在客戶端瀏覽器中都采用了統(tǒng)一Cookie加密，在相應(yīng)系統(tǒng)目錄下，只有一個(gè)與Cookie相關(guān)的加密文件為可見，并且，其中的Cookie文件被瀏覽器加密，用戶不可見，增強(qiáng)了安全性。

四、小白內(nèi)心說

小白：那對于這個(gè)惡意程序，我們應(yīng)當(dāng)采取哪些防御措施呢？

大東：該惡意軟件的傳播，是利用了受害者安全意識薄弱這一點(diǎn)，用戶對未經(jīng)驗(yàn)證的安裝程序隨意下載，這一行為使該惡意軟件能異常輕松地傳播。

小白：沒錯(cuò)，我們應(yīng)當(dāng)時(shí)刻提醒自己不要隨意下載軟件。

大東：為了避免類似事件發(fā)生，對于個(gè)人用戶來說，我們需要提高自身安全意識，盡可能下載官方網(wǎng)站來源的軟件，對下載的文件進(jìn)行必要的安全檢查。

小白：對于事業(yè)單位呢？

大東：為增強(qiáng)企事業(yè)單位內(nèi)部的網(wǎng)絡(luò)安全，首先應(yīng)加強(qiáng)對員工的培訓(xùn)和教育，增強(qiáng)網(wǎng)絡(luò)安全意識，其次，應(yīng)把終端安全軟件安裝在每一臺主機(jī)上，并限制單位員工個(gè)人下載安裝程序使用非官網(wǎng)渠道，以保障內(nèi)部網(wǎng)絡(luò)的安全性。

小白：除了這些建議，有沒有針對cookie安全進(jìn)行某些安全設(shè)置的建議呢？

大東：我們建議，對于個(gè)人用戶，應(yīng)該對瀏覽器適當(dāng)限制cookie存儲權(quán)限。

瀏覽器Cookie權(quán)限設(shè)置（圖片來自網(wǎng)絡(luò)）

參考資料：

1. FFDroider佯裝成Telegram攻擊竊取瀏覽器用戶密碼

https://baijiahao.baidu.com/s?id=1729960853561193927&wfr=spider&for=pc

2. Zscaler：偽裝成電報(bào)應(yīng)用程序的FFDroider惡意軟件會竊取社交媒體賬號

https://www.163.com/dy/article/H4RB52HT0511BLFD.html

3. cookie是什么？如何防范劫持？

https://blog.csdn.net/qq_43312649/article/details/119753227

4. FFDroider惡意軟件可竊取國內(nèi)用戶隱私數(shù)據(jù)

https://m.sohu.com/a/544985262_121124359/

來源：中國科學(xué)院信息工程研究所