信息盗取器概述:怎样从浏览器盗取百万数据 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

信息盗取器概述:怎样从浏览器盗取百万数据

申博_安全防护 申博 41次浏览 已收录 0个评论

用户数据是黑客最感兴致的之一,缘由很简朴就是由于能够变现赢利。比方,盗取的数据能够用于转账到犯罪分子的账号、预订商品和效劳,还能够在黑市售卖。2019年上半年,有凌驾94万用户被收集用户数据的歹意软件进击。而2018年同期,只要不到60万用户被进击。这类要挟称作Stealer Trojans(信息盗取器木马)或Password Stealing Ware (PSW,暗码盗取歹意软件),是一类特地从受害者盘算机中盗取暗码、文件和其他数据的歹意软件。

信息盗取器概述:怎样从浏览器盗取百万数据

 信息盗取器木马进击的用户散布(2019年上半年)

在过去6个月,卡巴斯基研究人员在俄罗斯、德国、印度、巴西、美国和意大利检测到这类歹意软件的数目最多。

盗取了什么?

这类信息盗取器平常会出现在歹意软件生意的论坛上。每一个供应相似产物的都会对其产物打广告,形貌其功用。

信息盗取器概述:怎样从浏览器盗取百万数据

信息盗取器出卖通告

依据研究人员的剖析,平常信息盗取器的功用包含:

· 从阅读器收集以下信息:

-暗码

-自动添补数据

-付出卡信息

-Cookie

· 复制文件:

-从特定目次复制一切文件,如桌面

-特定后缀的文件,如txt,docx

-特定app的文件,比方加密钱银钱包、纵然通讯session文件等

· 转发体系数据:

-操纵体系版本

-用户名

-IP地点

· 盗取差别运用的账号,如FTP客户端、VPN、RDP等。

· 截屏。

· 互联网下载文件。

Azorult如许的多功用信息盗取歹意软件能够猎取受害者盘算机的险些一切数据:

· 悉数体系信息,比方装置的软件、运转的历程、用户或盘算机名、体系版本。

· 邮件信息,比方CPU、监视器、视频卡等。

· 险些一切着名阅读器中保留的暗码、付出卡信息、cookie、阅读汗青。

· 邮件、FTP、立即通讯客户端的暗码。

· 立即通讯的文件。

· Steam游戏客户端文件。

· 凌驾30种加密钱银延续的文件。

· 截屏。

· 特定范例的文件,如%USERPROFILE%\Desktop\ *.txt,*.jpg,*.png,*.zip,*.rar,*.doc示意桌面上一切特定扩大的文件。

为何要收集桌面的文件呢?由于用户常常运用的文件都保留在桌面上。而txt文件平常含有常常运用的暗码,事情文档能够含有受害者公司的秘要数据。

信息盗取器概述:怎样从浏览器盗取百万数据

Trojan-PSW.Win32.Azorult进击用户的地理散布 (2019年上半年)

这些特性都促使Azorult成为了流传最普遍的信息盗取器木马,研究人员发明Azorult占一切被Trojan-PSW范例歹意软件进击用户的凌驾25%。

在购置或建立了这类歹意软件后,犯罪分子就会最先流传。最罕见的体式格局就是发送含有歹意附件的邮件。除此之外,信息盗取器还能够经由历程僵尸收集举行流传。

怎样从阅读器盗取暗码?

在盗取阅读器数据方面,险些一切的信息盗取器都运用一样的体式格局。

Google Chrome和基于Chromium的阅读器

Linux当地提权破绽(CVE-2019-13272)预警

2019年07月20日,Linux正式修复了一个本地内核提权漏洞。通过此漏洞,攻击者可将普通权限用户提升为Root权限。 漏洞描述 当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_cred函数。但是,对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。 PTRACE_TRACEME获取父进程的凭证,使其能够像父进程一样执行父进程能够执行的各种操作。如果恶意低权限子进程使用PTRACE_TRACEME并且该子进程的父进程具有高权限,该子进程可获取其父进程的控制权并且使用其父进程的权限调用execve函数创建一个新的高权限进程。攻击者最终控制具有高权限的两个进程ptrace关系,可以被用来ptr

在基于Chromium开源代码的阅读器中,保留的暗码都是受DPAPI (Data Protection API)庇护的。阅读器自身的存储就是这个目标,是经由历程SQLite数据库完成的。只要建立这些暗码的OS用户才能够从数据库中提取暗码,而且只能在加密一切的电脑上提取。这是经由历程特定的加密完成保证的,个中加密历程中运用了盘算机和体系用户的信息。因而除了特定用户是没法猎取暗码的。

对已入侵了盘算机的信息盗取木马来讲,这并不难,由于自身就是OS用户权限运转的,提取阅读器中保留的数据的历程以下:

· 提取数据库文件。基于Chromium的阅读器会以规范不可变的途径来保留文件。为了防止涌现接见的题目,信息盗取器木马能够将文件复制到另一个文件并停止一切阅读器历程。

· 读取加密数据。如上所述,阅读器运用规范东西就能够读取SQLite数据库中的数据。

· 解密数据。解密的历程须要在本来的盘算机中完成,这也不是题目,yin为解密历程就是经由历程挪用函数CryptUnprotectData来直接在受害者盘算机上完成的。

信息盗取器概述:怎样从浏览器盗取百万数据

Stealer Trojan Arkei代码示例 (解密从基于Chromium的阅读器中猎取的数据)

阅读器中保留的暗码、银行卡信息、阅读汗青都被提取出来了,并会发送到犯罪分子的效劳器上。

Firefox和基于Firefox的阅读器

基于Firefox的阅读器的暗码加密历程有一点差别,但对信息盗取器来讲是异常简朴的。

在Firefox阅读器中,加密历程运用了Network Security Services nss3.dll库,这是来自Mozilla的用于开辟平安app的库。提取阅读器中保留的数据的历程以下:

· 提取数据库文件。基于Firefox的阅读器会天生随机用户名运用户没法相识加密数据文件的位置。但进击者晓得文件夹途径,因而也能够用特命名来举行检查和分类。而且假如用户删除阅读器后,该数据依然能够保留,这也是许多信息盗取器应用的一个破绽点。

· 读取加密数据。数据能够保留为Chromium (SQLite花样),也能够保留为含有加密数据域的JSON文件花样。

· 数据解密。要解密数据,信息盗取器就要加载nss3.dll库,然后挪用差别的函数并猎取可读花样的解密数据。一些信息盗取器有直接与阅读器文件交互的函数,如许纵然阅读器被卸载依然能够举行操纵。但假如数据庇护函数运用了master password,没有password举行解密是不能够的。但该功用默许情况下是被禁用的,而且启用体式格局在设置菜单的很深层,很难找到。

信息盗取器概述:怎样从浏览器盗取百万数据

信息盗取木马Orion代码段(解密基于Firefox的阅读器数据)

然后数据就会被转发到犯罪分子处。

IE和Edge阅读器

IE 4.X到6.0版本中,保留的暗码和自动添补数据都保留在所谓的Protected Storage受庇护存储区域中。为了提取这些数据,信息盗取器须要加载pstorec.dll库,并猎取开放花样的一切数据。

IE 7和8运用了一种不太一样的体式格局:保留的位置位于Credential Store,加密历程还加了盐salt。但salt值是稳定的,一切信息盗取器能够挪用雷同的CryptUnprotectData函数来猎取一切保留的暗码。

IE 9和Edge运用了一种新的存储体式格局——Vault。它在数据猎取方面是一样的:信息盗取器加载vaultcli.dll,挪用多个差别的函数,提取保留的数据。

纵然数据存储要领有一些变化也没法防备信息盗取器读取数据。

其他

代码重用

研究人员在剖析信息盗取器代码时发明一些代码素昧平生。个中的缘由能够是由于这些信息盗取器的开辟者是雷同的,完成一个项目后将其作为其他项目标基本,比方Arkei和Nocturnal的背地就是同一个开辟者。

信息盗取器概述:怎样从浏览器盗取百万数据

 Arkei和Nocturnal代码比较

形成这类相似性的另一个缘由是代码借用。Arkei的源码被其开辟者在地下论坛出卖,然后变成了另一个信息盗取器Vidar的基本。这些木马有许多的配合点,包含数据猎取的体式格局、接受命令的花样,以及发给C2效劳器的数据花样。

信息盗取器概述:怎样从浏览器盗取百万数据

 发往C2效劳器的数据花样:Arkei和Vidar

不须要太多专业知识

只管有许多的信息盗取器,但用来盗取特定信息的木马都有一些配合的特性。比方,Trojan-PSW.MSIL.Cordis只从Discord的session中猎取信息。该木马的源代码就异常简朴,就是搜刮一个文件然后发送到C2效劳器。

信息盗取器概述:怎样从浏览器盗取百万数据

 Cordis代码样本

这类木马平常不会出卖,但源码任何人都能够编译,因而是很罕见的。

信息盗取器概述:怎样从浏览器盗取百万数据

 Trojan-PSW.MSIL.Cordis进击用户的地理散布, 2019年上半年

运用差别的编程言语

虽然大多数信息盗取器木马都是用C/C++/C#等主流编程言语开辟的,但也有一些用Golang如许不罕见的编程言语开辟的。Trojan-PSW.Win32.Gox就是一个例子,它能够盗取Chromium阅读器中保留的暗码、付出卡信息、加密钱银顺序文件和Telegram文件。

信息盗取器概述:怎样从浏览器盗取百万数据

Trojan-PSW.Win32.Gox进击用户的地理散布, 2019年上半年

总结

用户常常会将主要的数据保留到阅读器。比方,把暗码和银行卡信息自动添补异常轻易。但研究人员发起不要将主要的信息保留到阅读器,由于阅读器所用的庇护要领对歹意软件来讲没有任何作用。歹意软件对阅读器数据的兴致和进击有增无减。现在的信息盗取木马不断更新、到场新的功用,以至能够从天生一次性验证码的app盗取2FA数据。

鉴于此,研究人员发起运用一些特别的软件来存储在线账户的暗码和银行卡信息,不要下载和运转可疑文件,不要点击可疑邮件中的链接等。

原文地点: https://www.4hou.com/web/19445.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明信息盗取器概述:怎样从浏览器盗取百万数据
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址