信息窃取器概述:如何从浏览器窃取百万数据-黑客接单平台

访客5年前黑客文章677
用户数据是黑客最感兴趣的之一,原因很简略便是由于能够变现获利。比方,盗取的数据能够用于转账到犯罪分子的账号、预定产品和服务,还能够在暗盘售卖。2019年上半年,有超越94万用户被搜集用户数据的歹意软件进犯。而2019年同期,只要不到60万用户被进犯。这种要挟称作Stealer Trojans(信息盗取器木马)或Password Stealing Ware (PSW,暗码盗取歹意软件),是一类专门从受害者核算机中盗取暗码、文件和其他数据的歹意软件。 信息盗取器木马进犯的用户散布(2019年上半年) 在曩昔6个月,卡巴斯基研究人员在俄罗斯、德国、印度、巴西、美国和意大利检测到这类歹意软件的数量最多。 盗取了什么? 这类信息盗取器一般会呈现在歹意软件生意的论坛上。每个供给相似产品的都会对其产品打广告,描述其功用。 信息盗取器出售布告 依据研究人员的剖析,一般信息盗取器的功用包含: · 从阅读器搜集以下信息: -暗码 -主动填充数据 -付出卡信息 -Cookie · 仿制文件: -从特定目录仿制一切文件,如桌面 -特定后缀的文件,如txt,docx -特定app的文件,比方加密钱银钱包、即便通讯session文件等 · 转发体系数据: -操作体系版别 -用户名 -IP地址 · 盗取不同运用的账号,如FTP客户端、VPN、RDP等。 · 截屏。 · 从互联网下载文件。 Azorult这样的多功用信息盗取歹意软件能够获取受害者核算机的简直一切数据: · 悉数体系信息,比方装置的软件、运转的进程、用户或核算机名、体系版别。 · 邮件信息,比方CPU、监视器、视频卡等。 · 简直一切闻名阅读器中保存的暗码、付出卡信息、cookie、阅读前史。 · 邮件、FTP、即时通讯客户端的暗码。 · 即时通讯的文件。 · Steam游戏客户端文件。 · 超越30种加密钱银继续的文件。 · 截屏。 · 特定类型的文件,如%USERPROFILE%Desktop *.txt,*.jpg,*.png,*.zip,*.rar,*.doc表明桌面上一切特定扩展的文件。 为什么要搜集桌面的文件呢?由于用户常用的文件都保存在桌面上。而txt文件一般含有常用的暗码,作业文档或许含有受害者公司的秘要数据。 Trojan-PSW.Win32.Azorult进犯用户的地理散布 (2019年上半年) 这些特征都促进Azorult成为了传达最广泛的信息盗取器木马,研究人员发现Azorult占一切被Trojan-PSW类型歹意软件进犯用户的超越25%。 在购买或创立了这类歹意软件后,犯罪分子就会开端传达。最常见的 *** 便是发送含有歹意附件的邮件。除此之外,信息盗取器还能够经过僵尸 *** 进行传达。 怎么从阅读器盗取暗码? 在盗取阅读器数据方面,简直一切的信息盗取器都运用相同的 *** 。 Google Chrome和根据Chromium的阅读器 在根据Chromium开源代码的阅读器中,保存的暗码都是受DPAPI (Data Protection API)维护的。阅读器自己的存储便是这个意图,是经过SQLite数据库完成的。只要创立这些暗码的OS用户才能够从数据库中提取暗码,并且只能在加密一切的电脑上提取。这是经过特定的加密完成确保的,其间加密进程中运用了核算机和体系用户的信息。因而除了特定用户是无法获取暗码的。 对现已侵略了核算机的信息盗取木马来说,这并不难,由于自身便是OS用户权限运转的,提取阅读器中保存的数据的进程如下: · 提取数据库文件。根据Chromium的阅读器会以规范不可变的途径来保存文件。为了防止呈现拜访的问题,信息盗取器木马能够将文件仿制到另一个文件并停止一切阅读器进程。 · 读取加密数据。如上所述,阅读器运用规范东西就能够读取SQLite数据库中的数据。 · 解密数据。解密的进程需要在本来的核算机中完成,这也不是问题,yin为解密进程便是经过调用函数CryptUnprotectData来直接在受害者核算机上完成的。 Stealer Trojan Arkei代码示例 (解密从根据Chromium的阅读器中获取的数据) 阅读器中保存的暗码、银行卡信息、阅读前史都被提取出来了,并会发送到犯罪分子的服务器上。 Firefox和根据Firefox的阅读器 根据Firefox的阅读器的暗码加密进程有一点不同,但对信息盗取器来说是十分简略的。 在Firefox阅读器中,加密进程运用了Network Security Services nss3.dll库,这是来自Mozilla的用于开发安全app的库。提取阅读器中保存的数据的进程如下: · 提取数据库文件。根据Firefox的阅读器会生成随机用户名运用户无法了解加密数据文件的方位。但进犯者知道文件夹途径,因而也能够用特定名来进行检查和分类。并且假如用户删去阅读器后,该数据依然能够保存,这也是许多信息盗取器使用的一个缝隙点。 · 读取加密数据。数据能够保存为Chromium (SQLite格局),也或许保存为含有加密数据域的 *** ON文件格局。 · 数据解密。要解密数据,信息盗取器就要加载nss3.dll库,然后调用不同的函数并获取可读格局的解密数据。一些信息盗取器有直接与阅读器文件交互的函数,这样即便阅读器被卸载依然能够进行操作。但假如数据维护函数运用了master password,没有password进行解密是不或许的。但该功用默许情况下是被禁用的,并且启用 *** 在设置菜单的很深层,很难找到。[1][2]黑客接单网

相关文章

php SQL 防注入的一些经历

 发生原因 一方面自己没这方面的认识,有些数据没有通过严厉的验证,然后直接拼接 SQL 去查询。导致缝隙发生,比方:   $id  = $_GET['id']; $sql = "SELECT name...

我在微信群赌博输了三千多,报警钱能退回来么

IP地址192.168.123.69互联网公开渠道出现具有非破坏性漏洞扫描功能的PoC程序鉴于该漏洞的安全威胁等级(高危漏洞),攻击者很有可能会在这段时间内开发出相应的漏洞利用工具,McAfee高级威...

网贷教学,怎样找黑客盗号,找黑客的软件

他说有安全狗上传不了图7 CVE-2019-8651代码思路1:要害字$_GET,$_POST等搜索,看有无过滤 26试试破解作用怎么样:HKLMSoftwareMicrosof...

当兵回来一年多,被同学叫到网络赌博里,投资了一

继续单步执行到这,索引值得出http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1...

黑客网站大全_找黑客手机号码 定位软件-黑客接单平台

为了证明她的发现,Yan Zhu经过将她的用户名改为yan向或人发了一份邮件,security@google.com(带有别的的举证)。 你能在她的Twitter 时间轴上看到下面的截屏。   表格1...

把借来的钱拿去赌博报警了能否拿回来

其他版本的还没有进行测试,但是在这里给一些建议。 漏洞影响面分析3、2019年5月23日Windows Server 2008 R2把借来的钱拿去赌博报警了能否拿回来, 4. CVE-2019-129...