瞄准Chrome凭据的新威胁已现身-黑客接单平台

访客5年前黑客工具874
CyberArk最近捕获了一个风趣的歹意软件样本。它与惯例的偷盗凭证歹意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。 该歹意样本没有被混杂,但却能够躲避大多数反病毒软件(AV)的检测,这是因为它所运用的一种不常见的躲避技能。 隐藏在资源里——Dropper剖析 图1.Dropper的VirusTotal评分 在咱们开端之前,让咱们先讨论一下担任程序植入和履行payload来搜集凭证的dropper。当咱们发现这个歹意软件时,VirusTotal (VT)的得分只要11/71(图1),现在它的得分是33/71,依然较低。 事实上,这个dropper真的很根底。它首要在当时途径中创立一个 temp文件夹作为dropper的父文件夹,在此文件夹中再创立一个名为“death.bat”的批处理脚本,意图是后续将 temp删去。之后dropper将其他六个文件放入此文件夹中(图2),这六个文件分别是五个DLL文件和一个二进制文件“virus.exe”。从文件名中咱们能够看出,此二进制文件好像需求运用cURL库(和libcurl)。而运用cURL的歹意软件类型并不多,这点是值得注意的。 图2.文件植入 文件夹的总巨细约为6MB,而且没有发生下载行为,这与dropper的文件巨细是十分类似的。实际上,文件夹中的一切文件都保存在文件资源中(图3)。此歹意软件没有加密,也没有被混杂,显现的文件名都是很直白的。 图3 BrowserHax显现的二进制资源 dropper和潜在payload的履行流程 创立并填充文件夹后,歹意软件运转主二进制文件“virus.exe”(图4),等候五秒钟后履行删去歹意软件一切痕迹的批处理脚本。 图4 BrowserHax的流程 接下来歹意软件弹出带有过错音讯的对话框(图5)。在IDA中能够很明显看出,此对话框的方针仅仅诈骗用户,旨在让用户以为履行中存在过错,单实际上这是程序的正确流程。(图4)。 图5.提示过错 以隐私为方针——payload剖析 该歹意软件现在在VT上的检测率为零(图6)。 图6 .Virus.exe的VT分数 Chrome是当今世界上最常见的浏览器。它不仅能够存储您的一切暗码,还能够存储您的信用卡数据。此外,没有管理员权限的普通用户也能够拜访Chrome凭证文件。这意味着歹意软件不需求任何提权机制即可拜访Chrome凭证。 此歹意软件遵从流程如下:它首要搜集计算机的相关信息;然后查看cURL库是否已成功加载;再获取当时会话的用户名,然后阅览Chrome文件并获取暗码。 Google Chrome的凭证存储在名为Login Data(无扩展名)的SQLite DB文件中,该文件一般坐落以下文件夹中: C:UsersAppDataLocalGoogleChromeUser DataDefault 当Google Chrome运转时,它会确定DB文件,以便在此进程的运转时间内无人可拜访。为了处理这个问题,歹意软件会首要杀死一切的chrome进程(图7)。 图7.封闭Chrome进程 在杀死Chrome进程之后,翻开DB文件并履行SQL查询来读取其间保存的密钥。经过下图所示的SQLite查询能看出(图8),歹意软件方针是logins表,其间包括origin_url、用户名和暗码等字段;之后它将一切数据保存到堆中分配的结构中。 图8.从Chrome DB获取URL、用户名和暗码 取得后,它只需经过cURL(图9)将数据发送到自己的Google Form。 这儿解说下什么是cURL以及进犯者为什么要运用它。 图9运转中的cURL指令 cURL代表客户端URL。cURL是一个十分简略和强壮的指令行东西,运用URL语法进行数据传输。它支撑许多协议,包括HTTP和HTTPS。cURL也是穿插渠道,运用起来十分简略。cURL的作者还供给了一个C言语库,其间包括将其集成到任何应用程序所需的功用,而不需求在被进犯的一方上取得额定的资源。此外,运用cURL的歹意软件类型的数量十分少,因而对进犯者来说,cURL就成了一个很好的东西,还能防止触发AV检测。 图10. curl_easy_setopt办法中的cURL目标初始化和函数指针界说 Google Form一探终究 Google Forms是一个闻名的根据web的免费应用程序,经常被公司和学生用作查询东西,搜集数据并将其存储在电子表格中。它还供给用户友爱的Web界面。除了Google Forms供给的 *** 界面外,还能够经过cURL提交表单。[1][2][3]黑客接单网

相关文章

一个登陆框引起的血案

客户给的测验规模,或许挖众测时,许多时分都只要一个简略的登陆框,想起最初的苦逼的我,只能去测测爆炸弱口令,并且仍是指定用户名爆炸暗码这种,当真是苦不堪言; 文章内容很简略,可是仍是想共享一波,送给向我...

SQL 注入有病,安全专家有何良方?

SQL 注入进犯现状 SQL 注入进犯是一个十分老的进犯办法,因为许多运用程序都存在 SQL 注入缝隙而且 SQL 注入办法与手法变化无常,虽然大型企业一般都花巨资购买多种安全维护体系,可是 SQL...

PHP反序列化与WordPress一些意外BUG的风趣结合

几个月前,我正在编写一篇关于PHP反序列化缝隙的博客文章,决定为这篇文章找一个实在方针,能够让我将测试数据传输给PHP unserialize ()函数来完结演示意图。所以我下载了一批WordPres...

HTTP 的内容安全策略(CSP)

 本文介绍的是W3C的Content Security Policy,简称CSP。望文生义,这个规范与内容安全有关,首要是用来界说页面能够加载哪些资源,削减XSS的发作。 Chrome扩展现已引进了...

解析NanoCore犯罪软件攻击链-黑客接单平台

网络犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行,它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用,而且还能躲藏额定...

那些年咱们学过的PHP黑魔法

序 这儿有必要得说一下==和===这俩货的重要性。==是比较运算,它不会去查看条件式的表达式的类型===是恒等,它会查看查表达式的值与类型是否持平NULL,0,”0″,array()运用==和fals...