社交平台cookie出卖了你——木马FFdroider欲窃取你的账户信息丨大东话安全

一、小白剧场

小白：东哥，最近某社交网络出现了一个事件——一个专门窃取社交平台的账户信息的邪恶木马。你听说了吗？

大东：有所耳闻，没有想到小白你的消息蛮灵通的嘛！

小白：那当然，咱也是懂得开源情报的铁杆东粉呢，话说这是一个什么样的木马病毒呢？

大东：它名为FFDroider，是一种新型木马病毒程序，能够对信息进行窃取。

小白：它通过什么方式来窃取账户信息呢？

大东：它可以劫持社交媒体账户，通过利用Cookie和凭证，这类数据一般被受害者存储在浏览器中。

小白：可以详细讲讲这个木马病毒的细节吗，东哥？

二、话说事件

大东：在2022年4月初，可为云计算提供安全服务的美国某公司研究人员发现了一种新型恶意软件，即Win32.PWS.FFDroider的软件（简称 FFDroider）。

小白：这款软件发动过攻击事件吗？

大东：据该安全研究团队称，FFDroider模仿了消息应用程序Telegram，而后者是被广泛使用的。为了执行攻击，FFDroider会首先访问用户的设备，如 PC。之后，FFDroider会从包括Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge在内的浏览器窃取cookie和凭证等数据。

Telegram应用程序（图片来自网络）

小白：窃取了cookie后，攻击者会执行哪些攻击呢？

大东：FFDroider利用盗来的cookie，帮助攻击者登录用户的社交媒体平台，对帐户信息进行提取，之后利用这些信息窃取更多的敏感信息或个人信息，比如通过展示虚假广告，诱骗用户输入敏感信息，通过这种手段进行进一步的攻击。

小白：这款恶意软件主要会针对哪些平台发动攻击呢？

大东：该公司表示，这款恶意软件对某社交平台的攻击效果最为明显。另外，其他目标还包括电子商务平台如亚马逊、eBay和Etsy等的用户。一旦窃取了用户个人信息，犯罪分子就可以以此进行欺诈和盗取金钱等不法行为。

小白：那该恶意软件的具体窃取信息的流程是怎样的呢？

大东：该公司的研究人员对该恶意软件的传播情况进行了长期追踪，他们研究了最近的样本，并据此发表了一份详细的技术分析。利用在种子网站下载的文件，FFDroider可以传播，这些文件包括游戏、破解软件、免费软件在内，这一点，和许多其他恶意软件一样。

小白：是怎样进行传播的呢？

大东：在其他文件或软件的下载过程中，为了逃避检测，FFDroider会进行伪装，以桌面应用程序Telegram形式存在，从而完成安装。恶意软件如果被用户运行，将会创建一个Windows注册表项，其名字为“FFDroider”。

Zscaler模拟的FFDroider在受感染的系统上创建注册表项（图片来自网络）

小白：注册表项之后呢？

大东：cookie和账户凭证是FFDroider的目标，这些数据通常在浏览器内存储，包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge等。

小白：那如何窃取cookie和账户凭证呢？

大东：恶意软件会滥用接口Windows Crypt API，具体来说，特别是对其中函数CryptUnProtectData的滥用，能够实现对Chromium SQLite cookie和SQLite Credential存储的读取与解析，并解密条目。

小白：对于其他种类的浏览器的攻击方式也一样吗？

大东：窃取其他浏览器的过程与之类似，举例来说，为了对所有存储在Explorer和Edge中的Cookie进行抓取，会使用功能InternetGetCookieRxW和IEGet ProtectedMode Cookie等。

Zscaler模拟的恶意软件执行功能，从IE中窃取Facebook Cookies （图片来自网络）

小白：窃取了cookies之后呢？

大东：在完成窃取和解密后，该恶意软件会通过HTTP POST请求，把生成的明文用户名和密码泄露给C2服务器。

该公司模拟的通过POST请求泄漏被盗数据（图片来自网络）

小白：那FFDroider与其他木马的区别在哪里呢？

大东：窃取对象是它与其他木马区别的一点，对存储在浏览器的所有账户凭证，FFDroider的运营商不感兴趣，而是专注于对一些有效cookie的窃取，它们可用于在社交媒体账户和电子商务网站进行身份验证在此过程中，恶意软件会进行动态测试。

小白：可以举个例子说明一下吗？

大东：举例来说，FFDroider如果能通过某社交平台的身份验证，就可以从其广告管理器中获取各种信息，如所有的页面和书签，以及和受害者相关的信息，包括好友数量、账单和支付信息等。

小白：进而会发展更深层次的社交攻击吧？

大东：没错，这些信息可能被威胁参与者利用，进一步地，在社交媒体平台开展欺诈性广告活动，并向更多人推广他们的恶意软件。

三、大话始末

小白：FFDroider主要针对国外的社交媒体网站，那它对国内的社交媒体网站有威胁吗，我们的国内公民信息会受到威胁吗？

大东：在该公司分析这起攻击事件之后，某实验室也深入分析了该事件中的攻击技术，并发现，针对国内用户，经轻微修改，该信息窃取工具就能够实施类似的攻击，从而窃取国内公民的个人信息。

小白：他们做了哪些实验呢？

大东：通过选用研究员的个人主机，浏览器使用默认安全配置，在此条件下，该实验室进行了安全测试，并发现使用与该恶意软件类似的技术手段，可以窃取用户的个人账号信息，它们存储在Taobao/Weibo/QQ等网站的cookie中。

小白：那他们有对这款恶意软件采取什么措施吗？

大东：该实验室认为，出于进一步扩大感染范围的目的，更多的投递方式会被攻击者衍生出，包括利用垃圾邮件和水坑网站等。和该恶意软件相关的此类威胁应被及时处置，因此，应对其分发渠道，实施持续的长期监控。

小白：既然我们一直在谈论窃取cookie的内容，东哥，那我们再聊聊cookie都有哪些安全威胁吧。

大东：首先，是对Cookie的捕获和重放，通过使用恶意程序，如跨站脚本、木马，黑客可以偷窃用户的Cookie。如果cookie被捕获，通过猜测访问令牌，黑客可以获得敏感信息，例如会话ID、用户角色、用户名、密码和时间戳；或者重放cookie，以便黑客可以伪造受害者的身份并发动攻击。

小白：还有吗？

大东：会话固定（Session Fixation）攻击会使受害者在登录网站时使用攻击者的身份，从而窃取会话信息，这是通过将攻击者控制的身份验证Cookie和其他信息注入受害者的主机来实现的。

小白：注入Cookie的方法有哪些呢？

大东：注入Cookie的方法包括：使用恶意程序，如木马或跨站点脚本；在与合法网站相同的域中伪造假冒网站，并欺骗用户访问，把攻击者自己域的Cookie，通过HTTP响应中的Set-Cookie头，发送给用户等。

小白：还有其他的威胁么？

大东：还有跨站请求伪造（Cross-Site Request Forgery，简称CSRF）攻击，即攻击者可能利用网页中的恶意代码，强迫受害者的浏览器向被攻击的Web站点发送伪造请求，盗取受害者的认证Cookie等身份信息，从而假冒受害者对目标站点执行指定的操作。

小白：还有吗？

大东：最后一个是恶意Cookies。由于Cookies是文本文件，因此，通常认为它们不会构成安全威胁。但是，如果通过特殊的标记语言将可执行代码插入cookies，则可能给用户带来严重安全隐患。

小白：什么样的隐患呢？

大东：如果cookie包含可执行的恶意代码段，该恶意代码段将在显示带有 cookie 的网页时自动执行。当然，恶意代码是否真的能造成危害还取决于网站的安全配置策略。

小白：说了这么多cookie的威胁，我们有哪些安全防御措施呢？

大东：首先，对服务器端，主要的保护措施有：添加MAC进行完整性验证；防止非法用户非法拦截后重放，对相关信息进行用户数字签名，加强有效性验证；cookie本身采用随机密钥加密，从而保证其信息安全。

小白：对于客户端呢？

大东：对访问的不同网站，出于保证本地Cookie安全的目的，在客户端浏览器中都采用了统一Cookie加密，在相应系统目录下，只有一个与Cookie相关的加密文件为可见，并且，其中的Cookie文件被浏览器加密，用户不可见，增强了安全性。

四、小白内心说

小白：那对于这个恶意程序，我们应当采取哪些防御措施呢？

大东：该恶意软件的传播，是利用了受害者安全意识薄弱这一点，用户对未经验证的安装程序随意下载，这一行为使该恶意软件能异常轻松地传播。

小白：没错，我们应当时刻提醒自己不要随意下载软件。

大东：为了避免类似事件发生，对于个人用户来说，我们需要提高自身安全意识，尽可能下载官方网站来源的软件，对下载的文件进行必要的安全检查。

小白：对于事业单位呢？

大东：为增强企事业单位内部的网络安全，首先应加强对员工的培训和教育，增强网络安全意识，其次，应把终端安全软件安装在每一台主机上，并限制单位员工个人下载安装程序使用非官网渠道，以保障内部网络的安全性。

小白：除了这些建议，有没有针对cookie安全进行某些安全设置的建议呢？

大东：我们建议，对于个人用户，应该对浏览器适当限制cookie存储权限。

浏览器Cookie权限设置（图片来自网络）

参考资料：

1. FFDroider佯装成Telegram攻击窃取浏览器用户密码

https://baijiahao.baidu.com/s?id=1729960853561193927&wfr=spider&for=pc

2. Zscaler：伪装成电报应用程序的FFDroider恶意软件会窃取社交媒体账号

https://www.163.com/dy/article/H4RB52HT0511BLFD.html

3. cookie是什么？如何防范劫持？

https://blog.csdn.net/qq_43312649/article/details/119753227

4. FFDroider恶意软件可窃取国内用户隐私数据

https://m.sohu.com/a/544985262_121124359/

来源：中国科学院信息工程研究所