2021-11-03 13:07:13
从各种密码到电子文档的副本,可以说任何用户数据都是黑客感兴趣的东西。原因很简单,几乎任何用户数据都可以用来获取非法收入。
例如,窃取的密码可以用来劫持用户的账户,然后将账户中的所有资金转移到黑客的账户中。如果黑客愿意,也可以把数据卖给别人,直接用数据换钱。
卡巴斯基实验室发布的最新数据显示,仅今年上半年,就有超过94万用户遭受了旨在窃取其计算机上存储的各种数据的恶意软件攻击,主要分布在俄罗斯、德国、印度、巴西、美国和意大利。
图1。信息窃取恶意软件攻击分布图。
这种恶意软件通常被称为“窃取木马”或“密码窃取软件(PSW)”。一旦成功感染目标计算机,它就可以窃取各种用户数据,包括密码和文件。
信息窃取恶意软件具体都有哪些功能?
在黑暗的网络黑客论坛,我们经过调查会看到关于这类恶意软件的广告,卖家往往会详细列出自己“产品”的具体功能。
图2。黑暗网络黑客论坛上的信息窃取恶意软件广告。
一般来说,大多数窃取信息的恶意软件具有以下功能:
(1)从浏览器获取数据:
密码
自动填充数据。
支付卡信息
饼干
(2)复制文件:
特定目录中的所有文件,如桌面。
具有特定扩展名的文件,如txt和docx。
特定软件安装文件夹下的文件,如加密货币钱包、即时通讯软件等。
(3)收集系统信息:
操作系统版本
用户名
ip地址
(4)盗取各种软件的账号和密码,如FTP客户端、VPN、RDP等。
(5)截图。
(6)从互联网下载文件。
值得一提的是,像azoult这样的多功能信息窃取恶意软件(卡巴斯基实验室已经在超过25%的被攻击用户的计算机上检测到azoult)几乎可以获得被感染计算机上的所有数据:
完整的系统信息,如安装的软件、运行的进程列表、用户名或计算机名、系统版本等。
完整的硬件信息,如CPU、显示器、显卡等。
几乎所有主流浏览器都存储了密码、支付卡数据、Cookie和浏览历史;
电子邮件、文件传输协议和即时通讯软件客户端的密码;
即时通讯软件安装文件夹下的文件;
Steam游戏客户端安装文件夹下的文件;
30多种加密货币的钱包安装文件夹下的文件;
截图;
特定文件,如所有具有特定扩展名(。txt,jpg,巴布亚新几内亚。拉上拉链。rar,doc)在“USERPROFILEDesktop”文件夹下。
为什么要收集桌面上的文件?这是因为大多数用户通常将常用文件保存在桌面上。例如,常用密码通常存储在。txt文件,而Office文档则喜欢。文档可能包含用户公司机密信息。
="ie记住用户名密码怎么设置(IE浏览器保存账号密码方法)" src="/uploads/allimg/211103/130G331R-4.png">
图3. Azorult的攻击分布图
恶意软件如何从浏览器窃取数据?
在窃取浏览器数据(密码、支付卡信息、自动填充数据)方面,几乎所有的信息窃取恶意软件都采用了大致相同的方式。
Google Chrome和基于Chromium的浏览器
众所周知,在基于Chromium的浏览器中,保存的密码都受到了DPAPI(Data Protection API)的保护,这是通过SQLite数据库来实现的。只有创建这些密码的管理员用户才能够从SQLite数据库中提取它们,而且只能在加密它们的计算机上提取。
然而,对于已经成功侵入计算机的信息窃取恶意软件来说,这并不能成为阻碍,因为它们本身就是以管理员用户权限运行的。按照如下步骤执行,它们就能够提取浏览器中保存的数据:
- 提取数据库文件-对于基于Chromium的浏览器而言,用来保存用户数据的文件的路径是固定不变的,很容易找到;
- 读取加密数据-如上所述,基于Chromium的浏览器使用的是SQLite数据库,使用一些标准工具就能从中读取数据;
- 解密数据-通过调用CryptUnprotectData函数,就能够直接在受感染计算机删直接完成解密。
图4. 信息窃取木马Arkei的源代码片段(用于解密从基于Chromium的浏览器中窃取的数据)
就这样,无论是保存的密码,还是支付卡信息或浏览历史记录,都能够被窃取并随时发送到由黑客们控制的服务器上。
Firefox和基于Firefox的浏览器
基于Firefox的浏览器的在数据加密上略有一些不同,但对信息窃取恶意软件来说,获取它们的过程同样简单。
在Firefox浏览器中,加密使用了Network Security Services(一组Mozilla用来开发安全软件的库)和nss3.dll库。
与基于Chromium的浏览器一样,信息窃取恶意软件从浏览器中提取保存的数据的过程如下:
- 提取数据库文件-基于Firefox的浏览器会生成随机的用户配置文件名,使得保存用户数据的文件无法事先预知。但通过匹配特定的文件名,信息窃取恶意软件仍然能够找到这些文件的位置。此外,即使用户卸载了浏览器,这些文件也不会被删除。
- 读取加密数据-加密数据分为两种,一种是和基于Chromium的浏览器一样保存为SQLite格式,另一种则保存为JSON文件格式。
- 解密数据-想要解密数据,信息窃取恶意软件就需要加载nss3.dll库,然后调用多个函数来对数据进行解密。
图5.信息窃取木马Orion的源代码片段(用于解密从基于Firefox的浏览器中窃取的数据)
IE和 Edge浏览器
在IE 4.X到6.0版本中,用户的密码和自动填充数据都保存在所谓的Protected Storage受保护存储区域中。为了提取这些数据,信息窃取恶意软件需要加载pstorec.dll库。
IE 7和8版本使用了略有不同的方法:使用的存储区域被称为“Credential Store”,并且使用进行了SALT加密。不过,由于SALT值是固定的,导致信息窃取恶意软件能够通过调用相同的CryptUnprotectData函数来获取所有保存的密码。
虽然IE 9和Edge使用了一种被称为“Vault”的新型存储方式,但信息窃取恶意软件仍能够通过vaultcli.dll并调用几个函数来提取用户数据。
安全建议
在日常生活和工作中,我们常常会将一些重要的数据保存在浏览器中(比如,允许账号和密码自动填充),主要就是为了图个方便。
卡巴斯基实验室的这份报告则给我们提了个醒,目前市面上的大多数浏览器所使用的数据保护方法,对于信息窃取恶意软件来说似乎并没有多少用处。
因此,建议大家还是尽量不要将重要的数据保存在浏览器中的好。如果已经养成了这个习惯,那么一定不要下载并运行可疑文件,也不要点击可疑电子邮件中的不明链接。
