1.小白剧场小白:东哥,最近社交网络上发生了——事件。这是一种专门窃取社交平台账户信息的恶意木马。你听到了吗?大东:我听说了,不过我觉得小白你知识不多。小白:当然,我们也是了解开源情报的狂热东方粉丝。这是什么类型的木马病毒?Daddon:它叫FFDroider,是一种新型的可以窃取信息的木马病毒程序。小白:你如何窃取账户信息? 大东:Cookie和凭证可以用来接管社交媒体账户。此类数据通常存储在受害者的浏览器上。小白:东哥,能详细介绍一下这个木马病毒吗? 2、说说事件大东:2023年4月上旬,一家能够为云计算提供安全服务的美国公司的研究人员发现了一种名为Win32.PWS.FFDroider软件(简称FFDroider)的新型恶意软件。小白:这个软件曾经发起过攻击吗? 大东:根据安全研究团队的说法,FFDroider模仿了广泛使用的消息应用程序Telegram。为了进行攻击,FFDroider 首先访问用户的设备,例如PC。然后,FFDroider 从Google Chrome、Mozilla Firefox、Internet Explorer 和Microsoft Edge 等浏览器窃取Cookie 和凭据等数据。 Telegram应用(图片来自网络) 小白:攻击者窃取cookie后可以进行哪些攻击? 大东:FFDroider允许攻击者登录用户的社交媒体平台并提取帐户信息,然后利用窃取的cookie来帮助其进行操作然后使用该信息窃取更敏感或个人信息,例如诱骗用户输入敏感信息。通过这种手段,可以阻止进一步的攻击。小白:该恶意软件主要针对哪些平台? 大东:该公司表示,该恶意软件对某些社交平台的攻击效果最为明显。此外,其他目标还包括亚马逊、eBay 和Etsy 等电子商务平台的用户。一旦您的个人信息被盗,不法分子就可以利用它进行诈骗、盗窃钱财等非法活动。小白:那么这个恶意软件窃取信息的具体过程是怎样的呢? 大东:公司的研究人员长期跟踪这个恶意软件的传播,研究了最近的样本,并根据它们创建了详细的信息。 FFDroider 与许多其他恶意软件一样,通过从游戏、破解软件和免费软件等种子网站下载的文件进行传播。小次郎:它是如何传播的?大东:为了避免在下载其他文件和软件的过程中被检测到,FFDroider 会伪装自己,以桌面应用程序Telegram 的形式存在来完成安装。当用户执行时,该恶意软件会创建一个名为“FFDroider”的Windows 注册表项。 Zscaler 模拟的FFDroider 在受感染的系统上创建注册表项(图片来自网络) 小白:注册表项之后会发生什么? 大东:FFDroider 目标中的Cookie 和帐户凭据是的,这些数据通常存储在Google Chrome、Mozilla Firefox 等浏览器中Internet Explorer 和Microsoft Edge。小白:如何窃取cookie 和帐户凭据? 大东:该恶意软件利用Windows Crypt API 接口,特别是CryptUnProtectData 函数来读取和解析Chromium SQLite Cookie 和SQLite 凭据存储并提取解密条目。
小白:其他类型浏览器的攻击是不是一样? 大东:盗取其他浏览器的过程是类似的。例如,要爬取存储在Explorer 和Edge 中的所有cookie,请使用InternetGetCookieRxW 和IEGet ProtectedMode Cookie 函数。 Zscaler模拟的恶意软件执行器从IE中窃取Facebook cookie(图片来自互联网) 小白:cookie被窃取后会发生什么? 大东:一旦窃取和解密完成,恶意软件就会通过将生成的明文用户名和密码泄露给C2服务器HTTP POST 请求。该公司通过POST请求模拟泄露被盗数据(图片来自网络) 小白:那么FFDroider和其他木马有什么区别大东:FFDroider和其他木马有什么不同吗?存储在浏览器中的帐户凭据,更专注于窃取可用于社交媒体帐户和电子商务网站的有效cookie。在此过程中,恶意软件会被动态测试。小次郎:能给我举个例子吗? Dadon:例如,如果FFDroider能够通过社交平台的身份验证,它就可以从广告管理器检索各种信息,例如所有页面和书签,以及有关受害者的信息,例如好友数量和账单金额。支付信息等。 小白:会发展成更严重的社交攻击吗?大东:是的,威胁行为者可以利用这些信息在社交媒体平台上进一步发起欺骗性广告活动,并将恶意软件推广给更多人。 3、谎言的始末:FFDroider主要针对海外社交媒体网站吗?对国内社交媒体网站是否构成威胁? 大东先生:公司后来对这次攻击事件进行了详细分析。通过对事件中使用的攻击方式进行分析,发现该信息窃取工具只需稍加改动即可针对国内用户进行类似的攻击。国内公民的信息。小次郎:他们做了什么样的实验? Daito:通过选择研究人员的个人主机并使用浏览器的默认安全配置,实验室进行了安全测试,结果发现用户的个人账户信息被使用类似于恶意软件的技术手段窃取,并存储在其中。网站上的cookie。淘宝/微博/QQ等小次郎:那么,他们针对这种恶意软件采取了什么措施吗? 大东先生:在研究所,为了进一步扩大感染范围,他们使用了垃圾邮件、水坑网站等方式,我们相信还会有更多。攻击者的传递方法。分发渠道应受到持续的长期监控,因为必须快速解决与该恶意软件相关的威胁。小白:说完了窃取cookie的内容,东哥,我们来说说cookie的安全威胁。大东:首先,黑客可以利用跨站脚本和木马等恶意程序窃取你的cookie。一旦捕获了cookie,黑客就可以猜测访问令牌来获取敏感信息,例如会话ID、用户角色、用户名、密码和时间戳,或者利用cookie 来获取对受害者的访问权限,他们可以伪装自己的身份并启动。攻击。小白:还有什么吗?大东:会话保持
这种攻击允许受害者在登录网站时使用攻击者的身份,并通过将身份验证cookie和攻击者控制的其他信息注入受害者的主机来窃取会话信息。小白:cookie如何注入? 大东:可以通过木马、跨站脚本等恶意程序注入cookie,也可以通过在合法网站同域内创建虚假网站来注入cookie,以及如何从合法网站注入cookie。攻击者自己的域。发送给用户的HTTP 响应,例如Set-Cookie 标头。小白:还有其他威胁吗? 大东:还有跨站请求伪造(CSRF)攻击。这意味着攻击者可以在网页中使用恶意代码,导致受害者的浏览器向目标网站发送虚假请求,窃取受害者的身份验证cookie 等内容。身份信息用于冒充受害者并在目标站点上执行指定操作。小白:还有什么吗? Dadon:最后但并非最不重要的是恶意cookie。由于cookie 是文本文件,因此它们通常不被视为安全威胁。然而,当使用特殊标记语言将可执行代码注入cookie 时,可能会给用户带来重大的安全风险。小白:有什么隐患?大东:如果cookie中包含可执行的恶意代码段,那么当浏览包含该cookie的网页时,该恶意代码段就会自动执行。当然,恶意代码是否真正造成任何危害取决于您网站的安全配置策略。小次郎:来自cookie的威胁有很多,但是我们有哪些安全防御措施? 大东:首先,服务器端的主要防护措施有:
MAC进行完整性验证,防止未授权用户的非法拦截和重放,对相关信息进行用户的数字签名,并且cookie本身采用随机密钥进行加密,以确保信息的安全性。小次郎:那客户呢?大东:为了保证本地cookie的安全,客户端浏览器对访问的不同网站采用统一的cookie加密,对应的系统目录不包含任何与cookie相关的加密信息,只会显示一个文件。它由浏览器加密,对用户不可见,从而提高了安全性。 4.小白心里说道。 “我应该对这个恶意程序采取什么防御措施?” 大东:这种恶意软件的传播利用了受害者缺乏安全意识,让他们很容易地访问未经验证的安装程序。小白:是的,你要时刻提醒自己不要擅自下载软件。大东:为了防止类似事件发生,个人用户需要提高安全意识,尽可能从官方网站下载软件,并对下载的文件进行必要的安全检查。小次郎:公共机构呢?大东:加强公司或组织内部的网络安全,首先要加强员工培训教育,提高网络安全意识。接下来,需要在每台主机上安装终端安全软件,并限制员工下载安装。本程序采用非官方渠道来保证内部网络安全。小白:除了这些建议之外,您对cookie安全设置具体的安全设置还有什么建议吗? 大东:建议对个人用户的浏览器上适当限制cookie存储权限。浏览器cookie权限设置(图片来自网络) 参考资料: 1.FFDroider以Telegram攻击为幌子窃取浏览器用户密码https://baijiahao.baidu.com/s id=1729960853561193927wfr=spiderfor=pc2 这是一次恶意攻击。伪装成Telegram 应用程序。软件窃取社交媒体帐户https://www.163.com/dy/article/H4RB52HT0511BLFD.html3。什么是cookie?如何防止劫持?https://blog.csdn.net/qq_43312649/article/details/1197532274。 FFDroider恶意软件可窃取国内用户个人数据https://m.sohu.com/a/544985262_121124359/
来源:中国科学院信息技术研究所
本文和图片来自网络,不代表火豚游戏立场,如若侵权请联系我们删除:https://www.huotun.com/game/668208.html