CyberArk最近捕获了一个风趣的歹意软件样本。它与惯例的偷盗凭证歹意软件，如Pony或Loki的不同之处在于，它只针对最常见的浏览器——谷歌Chrome。 该歹意样本没有被混杂，但却能够躲避大多数反病毒软件(AV)的检测，这是因为它所运用的一种不常见的躲避技能。 隐藏在资源里——Dropper剖析 图1.Dropper的VirusTotal评分 在咱们开端之前，让咱们先讨论一下担任程序植入和履行payload来搜集凭证的dropper。当咱们发现这个歹意软件时，VirusTotal (VT)的得分只要11/71(图1)，现在它的得分是33/71，依然较低。 事实上，这个dropper真的很根底。它首要在当时途径中创立一个 temp文件夹作为dropper的父文件夹，在此文件夹中再创立一个名为“death.bat”的批处理脚本，意图是后续将 temp删去。之后dropper将其他六个文件放入此文件夹中（图2），这六个文件分别是五个DLL文件和一个二进制文件“virus.exe”。从文件名中咱们能够看出，此二进制文件好像需求运用cURL库（和libcurl）。而运用cURL的歹意软件类型并不多，这点是值得注意的。 图2.文件植入 文件夹的总巨细约为6MB，而且没有发生下载行为，这与dropper的文件巨细是十分类似的。实际上，文件夹中的一切文件都保存在文件资源中（图3）。此歹意软件没有加密，也没有被混杂，显现的文件名都是很直白的。 图3 BrowserHax显现的二进制资源 dropper和潜在payload的履行流程 创立并填充文件夹后，歹意软件运转主二进制文件“virus.exe”（图4），等候五秒钟后履行删去歹意软件一切痕迹的批处理脚本。 图4 BrowserHax的流程 接下来歹意软件弹出带有过错音讯的对话框（图5）。在IDA中能够很明显看出，此对话框的方针仅仅诈骗用户，旨在让用户以为履行中存在过错，单实际上这是程序的正确流程。（图4）。 图5.提示过错 以隐私为方针——payload剖析 该歹意软件现在在VT上的检测率为零（图6）。 图6 .Virus.exe的VT分数 Chrome是当今世界上最常见的浏览器。它不仅能够存储您的一切暗码，还能够存储您的信用卡数据。此外，没有管理员权限的普通用户也能够拜访Chrome凭证文件。这意味着歹意软件不需求任何提权机制即可拜访Chrome凭证。 此歹意软件遵从流程如下：它首要搜集计算机的相关信息；然后查看cURL库是否已成功加载；再获取当时会话的用户名，然后阅览Chrome文件并获取暗码。 Google Chrome的凭证存储在名为Login Data（无扩展名）的SQLite DB文件中，该文件一般坐落以下文件夹中： C:UsersAppDataLocalGoogleChromeUser DataDefault 当Google Chrome运转时，它会确定DB文件，以便在此进程的运转时间内无人可拜访。为了处理这个问题，歹意软件会首要杀死一切的chrome进程（图7）。 图7.封闭Chrome进程 在杀死Chrome进程之后，翻开DB文件并履行SQL查询来读取其间保存的密钥。经过下图所示的SQLite查询能看出(图8)，歹意软件方针是logins表，其间包括origin_url、用户名和暗码等字段；之后它将一切数据保存到堆中分配的结构中。 图8.从Chrome DB获取URL、用户名和暗码 取得后，它只需经过cURL（图9）将数据发送到自己的Google Form。 这儿解说下什么是cURL以及进犯者为什么要运用它。 图9运转中的cURL指令 cURL代表客户端URL。cURL是一个十分简略和强壮的指令行东西，运用URL语法进行数据传输。它支撑许多协议，包括HTTP和HTTPS。cURL也是穿插渠道，运用起来十分简略。cURL的作者还供给了一个C言语库，其间包括将其集成到任何应用程序所需的功用，而不需求在被进犯的一方上取得额定的资源。此外，运用cURL的歹意软件类型的数量十分少，因而对进犯者来说，cURL就成了一个很好的东西，还能防止触发AV检测。 图10. curl_easy_setopt办法中的cURL目标初始化和函数指针界说 Google Form一探终究 Google Forms是一个闻名的根据web的免费应用程序，经常被公司和学生用作查询东西，搜集数据并将其存储在电子表格中。它还供给用户友爱的Web界面。除了Google Forms供给的 *** 界面外，还能够经过cURL提交表单。[1][2][3]黑客接单网