请选择 进入手机版 | 继续访问电脑版
立即注册 找回密码

领先房源-中国网·地产中国-房地产信息管家-中国互联网新闻中心

搜索
热搜: 活动 交友 discuz
查看: 1989|回复: 0

还在允许浏览器自动保存密码?Chrome、火狐、IE都被证实不靠谱了

[复制链接]

18

主题

18

帖子

56

积分

等待验证会员

积分
56
发表于 2019-8-7 00:12 | 显示全部楼层 |阅读模式


从各类密码到电子文档的副本,可以说任何用户数据,都是黑客们感爱好的工具。缘由很简单,几近任何用户数据都可以用来获得不法收益。
举例来说,被盗的密码便可以被用来劫持用户的账户,进而将账户下的资金全都转移到黑客的账户下。假如黑客们愿意,他们也可以将这些数据转手卖给他人,间接将数据换成钱。
据卡巴斯基尝试室最新公布的数据,仅在今年上半年,就有跨越94万名用户遭受了旨在窃取保存在他们计较机上的各类数据的恶意软件进犯,首要集合在俄罗斯、德国、印度、巴西、美国和意大利。
图1.信息窃取恶意软件进犯散布图

此类恶意软件凡是被称为“Stealer Trojans(信息窃取木马)”或“Password Stealing Ware(PSW,密码窃取法式)”,一旦成功传染方针计较机,就能窃取包括密码、文件在内的各类用户数据。
<h1>信息窃取恶意软件具体都有哪些功用?

在暗网黑客论坛上,我们经查城市看到有关此类恶意软件的广告,卖家常常也城市具体地列出自家“产物”的具体功用。
还在答应阅读器自动保存密码?Chrome、火狐、IE都被证实不靠谱了  金融 图2.暗网黑客论坛上的信息窃取恶意软件广告

总的来说,大大都信息窃取恶意软件都具有以下功用:
(1)从阅读器抓取数据:

  • 密码
  • 自动填凑数据
  • 付出卡信息
  • Cookie
(2) 复制文件:

  • 特定目录下的一切文件,如桌面
  • 特定扩大名文件,如txt、docx
  • 特定软件安装文件夹下的文件,如加密货币钱包、立即通讯软件等
(3)收集系统信息:

  • 操纵系统版本
  • 用户名
  • IP地址
(4)窃取各类软件的账号和密码,如FTP客户端、VPN、RDP等
(5)截屏
(6)从互联网下载文件
值得一提的是,类似于Azorult(卡巴斯基尝试室在跨越25%的被进犯用户的计较机上都检测到了Azorult)这样的多功用信息窃取恶意软件,几近可以获得受传染计较机上的所稀有据:

  • 完整的系统信息,如已安装的软件、正在运转的进程列表、用户名或计较机名、系统版本等;
  • 完整的硬件信息,如CPU、显现器、显卡等;
  • 几近一切支流阅读器中保存的密码、付出卡数据、Cookie、阅读历史记录;
  • 邮箱、FTP、立即通讯软件客户真个密码;
  • 立即通讯软件安装文件夹下的文件;
  • Steam游戏康夭户端安装文件夹下的文件;
  • 跨越30种加密货币钱包安装文件夹下的文件;
  • 截屏;
  • 特定范例的文件,如“USERPROFILE\Desktop\”文件夹下(即桌面上)的一切具有特定扩大名(.txt、.jpg、.png、.zip、.rar、.doc)的文件。
为什么要专门收集位于桌面上的文件?这是由于大大都用户凡是城市把常用的文件保存在桌面上。比如,常用的密码一般城市被保存在.txt文件里,而像.doc这样的Office文档则极能够包括有用户公司的机密信息。
还在答应阅读器自动保存密码?Chrome、火狐、IE都被证实不靠谱了  金融 图3. Azorult的进犯散布图

<h1>恶意软件若何从阅读器窃取数据?

在窃取阅读器数据(密码、付出卡信息、自动填凑数据)方面,几近一切的信息窃取恶意软件都采用了大致不异的方式。
Google Chrome和基于Chromium的阅读器
众所周知,在基于Chromium的阅读器中,保存的密码都遭到了DPAPI(Data Protection API)的庇护,这是经过SQLite数据库来实现的。只要建立这些密码的治理员用户才可以从SQLite数据库中提取它们,而且只能在加密它们的计较机上提取。
但是,对于已经成功侵入计较机的信息窃取恶意软件来说,这并不能成为障碍,由于它们自己就是以治理员用户权限运转的。依照以下步调履行,它们就可以提取阅读器中保存的数据:

  • 提取数据库文件-对于基于Chromium的阅读器而言,用来保存用户数据的文件的途径是牢固稳定的,很轻易找到;
  • 读取加密数据-如上所述,基于Chromium的阅读器利用的是SQLite数据库,利用一些标准工具就能从中读取数据;
  • 解密数据-经过挪用CryptUnprotectData函数,就可以间接在受传染计较机删间接完成解密。
图4. 信息窃取木马Arkei的源代码片断(用于解密从基于Chromium的阅读器中窃取的数据)

就这样,不管是保存的密码,还是付出卡信息或阅读历史记录,都可以被窃取并随时发送到由黑客们控制的办事器上。
Firefox和基于Firefox的阅读器
基于Firefox的阅读器的在数据加密上略有一些分歧,但对信息窃取恶意软件来说,获得它们的进程一样简单。
在Firefox阅读器中,加密利用了Network Security Services(一组Mozilla用来开辟平安软件的库)和nss3.dll库。
与基于Chromium的阅读器一样,信息窃取恶意软件从阅读器中提取保存的数据的进程以下:

  • 提取数据库文件-基于Firefox的阅读器会天生随机的用户设置文件名,使得保存用户数据的文件没法事前预知。但经过婚配特定的文件名,信息窃取恶意软件仍然可以找到这些文件的位置。此外,即利用户卸载了阅读器,这些文件也不会被删除。
  • 读取加密数据-加密数据分为两种,一种是和基于Chromium的阅读器一样保存为SQLite格式,另一种则保存为JSON文件格式。
  • 解密数据-想要解密数据,信息窃取恶意软件就需要加载nss3.dll库,然后挪用多个函数来对数据停止解密。
还在答应阅读器自动保存密码?Chrome、火狐、IE都被证实不靠谱了  金融 图5.信息窃取木马Orion的源代码片断(用于解密从基于Firefox的阅读器中窃取的数据)

IE和 Edge阅读器
在IE 4.X到6.0版本中,用户的密码和自动填凑数据都保存在所谓的Protected Storage受庇护存储地区中。为了提取这些数据,信息窃取恶意软件需要加载pstorec.dll库。
IE 7和8版本利用了略有分歧的方式:利用的存储地区被称为“Credential Store”,而且利用停止了SALT加密。不外,由于SALT值是牢固的,致使信息窃取恶意软件可以经过挪用不异的CryptUnprotectData函数来获得一切保存的密码。
虽然IE 9和Edge利用了一种被称为“Vault”的新型存储方式,但信息窃取恶意软件仍可以经过vaultcli.dll并挪用几个函数来提取用户数据。
<h1>平安倡议

在平常生活和工作中,我们经常会将一些重要的数据保存在阅读器中(比如,答应账号和密码自动添补),首要就是为了图个方便。
卡巴斯基尝试室的这份报告则给我们提了个醒,今朝市道上的大大都阅读器所利用的数据庇护方式,对于信息窃取恶意软件来说似乎并没有几多用处。
是以,倡议大师还是只管不要将重要的数据保存在阅读器中的好。假如已经养成了这个习惯,那末一定不要下载并运转可疑文件,也不要点击可疑电子邮件中的不明链接。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
http://timtheme.com/viagra-generic/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc & 加田小店

快速回复 返回顶部 返回列表