对准Chrome凭证的新要挟已现身 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对准Chrome凭证的新要挟已现身

申博_新闻事件 申博 28次浏览 未收录 0个评论

CyberArk近来捕捉了一个风趣的歹意软件样本。它与通例的偷窃凭证歹意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。

该歹意样本没有被殽杂,但却能够回避大多数反病毒软件(AV)的检测,这是因为它所运用的一种不常见的回避手艺。

隐藏在资本里——Dropper剖析

在我们最先之前,让我们先讨论一下担任顺序植入和实行payload来收集凭证的dropper。当我们发明这个歹意软件时,VirusTotal (VT)的得分只要11/71(图1),如今它的得分是33/71,依然较低。

事实上,这个dropper真的很基本。它起首在当前途径中建立一个\ temp文件夹作为dropper的父文件夹,在此文件夹中再建立一个名为“death.bat”的批处理剧本,目的是后续将\ temp删除。以后dropper将其他六个文件放入此文件夹中(图2),这六个文件分别是五个DLL文件和一个二进制文件“virus.exe”。从文件名中我们能够看出,此二进制文件好像须要运用cURL库(和libcurl)。而运用cURL的歹意软件范例并不多,这点是值得注意的。

对准Chrome凭证的新要挟已现身

图2.文件植入

文件夹的总大小约为6MB,而且没有发生下载行动,这与dropper的文件大小是异常相似的。实际上,文件夹中的一切文件都保留在文件资本中(图3)。此歹意软件没有加密,也没有被殽杂,显现的文件名都是很直白的。

对准Chrome凭证的新要挟已现身

图3 BrowserHax显现的二进制资本

dropper和潜伏payload的实行流程

建立并添补文件夹后,歹意软件运转主二进制文件“virus.exe”(图4),守候五秒钟后实行删除歹意软件一切陈迹的批处理剧本。

接下来歹意软件弹出带有毛病音讯的对话框(图5)。在IDA中能够很明显看出,此对话框的目的只是诳骗用户,旨在让用户以为实行中存在毛病,单实际上这是顺序的准确流程。(图4)。

对准Chrome凭证的新要挟已现身

图5.提醒毛病

以隐私为目的——payload剖析

该歹意软件现在在VT上的检测率为零(图6)。

Chrome是现今世界上最常见的浏览器。它不仅能够存储您的一切暗码,还能够存储您的信用卡数据。另外,没有管理员权限的普通用户也能够接见Chrome凭证文件。这意味着歹意软件不须要任何提权机制即可接见Chrome凭证。

此歹意软件遵照流程以下:它起首收集盘算机的相干信息;然后搜检cURL库是不是已胜利加载;再猎取当前会话的用户名,然后浏览Chrome文件并猎取暗码。

Google Chrome的凭证存储在名为Login Data(无扩展名)的SQLite DB文件中,该文件一般位于以下文件夹中:

C:\Users\<USERNAME>\AppData\Local\Google\Chrome\User Data\Default\

当Google Chrome运转时,它会锁定DB文件,以便在此历程的运转时间内无人可接见。为了处理这个题目,歹意软件会起首杀死一切的chrome历程(图7)。

对准Chrome凭证的新要挟已现身

图7.封闭Chrome历程

在杀死Chrome历程以后,翻开DB文件并实行SQL查询来读取个中保留的密钥。经由过程下图所示的SQLite查询能看出(图8),歹意软件目的是logins表,个中包含origin_url、用户名和暗码等字段;以后它将一切数据保留到堆中分派的构造中。

取得后,它只需经由过程cURL(图9)将数据发送到本身的Google Form。

这里诠释下什么是cURL以及进击者为何要运用它。

cURL代表客户端URL。cURL是一个异常简朴和壮大的敕令行东西,运用URL语法举行数据传输。它支撑许多协定,包含HTTP和HTTPS。cURL也是交织平台,运用起来异常简朴。cURL的作者还供应了一个C言语库,个中包含将其集成到任何应用顺序所需的功用,而不须要在被进击的一方上取得分外的资本。另外,运用cURL的歹意软件范例的数目异常少,因而对进击者来讲,cURL就成了一个很好的东西,还能防备触发AV检测。

对准Chrome凭证的新要挟已现身

WS-Discovery协定现在正被滥用于大规模DDoS进击

安全研究人员警告说,WS-Discovery协议目前正被滥用于大规模DDoS攻击。根据实际监测,使用WS-Discovery协议的63万台设备可能被滥用,从而进行毁灭性的DDoS攻击。 早在今年5月份,就有报告说,该协议可能被用于发起DDoS攻击。然而,在最近一个月,多个黑客组织已经开始滥用该协议,并且基于WS-Discovery的DDoS攻击现在已经成为常态了。 WS-Discovery是什么? WS-Discovery是一种多播协议,可以在本地网络上用于发现通过特定协议或接口进行通信的其他附近设备。值得注意的是,该协议使用UDP数

图10. curl_easy_setopt要领中的cURL对象初始化和函数指针定义

Google Form一探终究

Google Forms是一个有名的基于web的免费应用顺序,经常被公司和门生用作观察东西,收集数据并将其存储在电子表格中。它还供应用户友爱的Web界面。除了Google Forms供应的收集界面外,还能够经由过程cURL提交表单。

此样本包含一个硬编码的Google Forms URL(图11)。表单简朴但清楚(图10):它只包含一个数据字段。此数据字段设置为段落,能够包含大批字符——默许情况下最多为1,000,000,000,000,000,000,这足以支撑受害者的一切Chrome数据。

对准Chrome凭证的新要挟已现身

图11.硬编码的Google Forms 的URL

 对准Chrome凭证的新要挟已现身

图12.进击者的Google表单

因而,Google Form(图12)充当了效劳器角色,用于收集和存储数据。Google Form中的数据能够经由过程post请求提交。

自发明Google Form的这类歹意运用体式格局后,我们已通知了Google。这类对正当在线效劳的滥用已不是第一次涌现了,之前也涌现过运用pastebin以至Twitter作为其基本架构的歹意软件。

让我们看看运用cURL的数据发送流程。在经由过程curl_global_init和curl_easy_init初始化cURL对象以后,须要先设置对象,然后才运用curl_easy_setopt实行一系列操纵。为了增强剖析,它在curl_easy_setopt函数(图14)上运用一个函数指针(图13),并在全部函数中运用,以便准确设置对象。此函数的一个参数是cURL对象的选项——CURLOPT——进击者可对其设置。能够在此处找到带有响应十进制代码的完全选项列表。

比方在本例中,设置的第一个选项能够经由过程客栈0x2712 = 10015中的代码来辨认,该代码对应于CURLOPT_URL。此选项许可您设置发送请求的URL。明显,在这类情况下,它被设置为Google Form的URL。

对准Chrome凭证的新要挟已现身

图13在挪用之前设置函数指针并在客栈中设置参数

 对准Chrome凭证的新要挟已现身

图14设置cURL对象的其他选项并实行请求

标识为0x271F = 10015,下一个选项集为CURLOPT_POSTFIELDS,它包含将经由过程POST请求发送到之前定义的URL的数据。如前所示,包含的是从Google Chrome中提取的一切数据。

然后将CURLOPT_WRITEFUNCTION设置为一个简朴的乘法函数——准确盘算size * nmemb,个中size一直设置为1,nmemb是数据大小——这是库所请求的。

末了将CURLOPT_SSL_VERIFYPEER设置为0,这意味着它不会考证对等证书的真实性,这极能够是为了防备在新鲜的数字署名设置情况下请求被阻挠。再以后实行对curl_easy_perform的挪用,挪用将请求发送到预期的URL。这就是完全的通报历程。

那这个歹意软件是已知的照样全新的呢?

您能够已猜到,有许多针对Chrome凭证的歹意软件。因而,我们不能仅依据其目的来辨认歹意软件家属。

我们的歹意软件,即名为“virus”的payload,不会变动任何注册表,也不包含新鲜的字符串。歹意软件运转速率异常快,完成任务只需不到五秒钟(图4)。它不会在磁盘上建立任何文件,而是会在平安的Google Forms上发送一切数据。指向其家属的唯一指导是它的行动:加载libcurl、读取SQLite数据库、盗取Chrome凭证,并运用cURL将此数据发送回Google Forms。这些行动中没有哪一个能明白对应上已知的歹意软件家属。

让我们看看Yara划定规矩可否供应更多有价值的数据。基于现在的剖析,突出了以下五个目标:

1. 运用名为libcurl的cURL库

2. 杀死Chrome历程:taskkill / f / im chrome.exe

3. 运用Google Forms

4. 运用SQLite

5. 读取存储在Login Data中的Chrome凭证

rule browserhax_rule
{
    meta:
        author = "David Cohen"
        company = "CyberArk"
        date = "28-07-2019"
    strings:
        $lib_curl = "libcurl" nocase
        $taskkill = "taskkill /f /im chrome.exe" nocase
        $doc_form = "https://docs.google.com/forms/" nocase
        $sqllite = "sqlite" nocase
        $cred_file = "Login Data" nocase
    condition:
        all of ($*)
}

运用Yara划定规矩查找其他样本的要领没有供应它所属家属的信息。相反,我们发明了其他异常相似的样本,也是未检测到的样本(图15)。

对准Chrome凭证的新要挟已现身

图15.经由过程Yara划定规矩捕捉的样本

我们发明这些样本具有雷同的文件名。在婚配的文件大小和Yara划定规矩以后,很明显这是统一系列的歹意软件。VT能够列出所选样本与其他样本之间关联的表格,在个中一个标记为“relations”的Web选项卡中。

事实证明,图16中的样本运用完全雷同的Google Forms,dropper看起来与我们在本文中剖析的异常相似。dropper的资本包含一切雷同的库和virus.exe二进制文件。它还向我们供应了它怎样诱运用户实行歹意软件的信息(图17)——它假装是Microsoft的Minecraft装置顺序或CAB文件提取顺序,还包含了文件属性中的Microsoft署名,但这实际上不是一个有用的署名,数字署名考证证明了这一点。

对准Chrome凭证的新要挟已现身

图17.dropper信息

面临新要挟,做好防备预备

此要挟另一特征黑白持久性,除了偷窃Chrome凭证以外,不会破坏受害者的盘算机。而运用cURL库和Google Forms也使得它很难被捕捉。滥用正当东西再一次考证了在抵抗AV产物上的有用性。

对端点上举行防备是防备此类进击的最好要领。比方CyberArk Endpoint Privilege Manager等处理方案能够庇护驻留在内存,注册表或文件中的端点凭证存储。

本文翻译自:https://www.cyberark.com/threat-research-blog/new-sneaky-threat-against-your-chrome-credentials/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对准Chrome凭证的新要挟已现身
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址