社交平台cookie出卖了你——木马FFdroider欲窃取你的账户信息丨大东话安全( 二 ) 一、小白剧场小白：东哥

文章图片
Zscaler模拟的恶意软件执行功能，从IE中窃取Facebookcookies（图片来自网络）
小白：窃取了cookies之后呢？
大东：在完成窃取和解密后，该恶意软件会通过HTTPPOST请求，把生成的明文用户名和密码泄露给C2服务器。

文章图片
该公司模拟的通过POST请求泄漏被盗数据（图片来自网络）
小白：那FFDroider与其他木马的区别在哪里呢？
大东：窃取对象是它与其他木马区别的一点，对存储在浏览器的所有账户凭证， FFDroider的运营商不感兴趣，而是专注于对一些有效cookie的窃取，它们可用于在社交媒体账户和电子商务网站进行身份验证在此过程中，恶意软件会进行动态测试。
小白：可以举个例子说明一下吗？
大东：举例来说， FFDroider如果能通过某社交平台的身份验证，就可以从其广告管理器中获取各种信息，如所有的页面和书签，以及和受害者相关的信息，包括好友数量、账单和支付信息等。
小白：进而会发展更深层次的社交攻击吧？
大东：没错，这些信息可能被威胁参与者利用，进一步地，在社交媒体平台开展欺诈性广告活动，并向更多人推广他们的恶意软件。
三、大话始末
小白：FFDroider主要针对国外的社交媒体网站，那它对国内的社交媒体网站有威胁吗，我们的国内公民信息会受到威胁吗？
大东：在该公司分析这起攻击事件之后，某实验室也深入分析了该事件中的攻击技术，并发现，针对国内用户，经轻微修改，该信息窃取工具就能够实施类似的攻击，从而窃取国内公民的个人信息。
小白：他们做了哪些实验呢？
大东：通过选用研究员的个人主机，浏览器使用默认安全配置，在此条件下，该实验室进行了安全测试，并发现使用与该恶意软件类似的技术手段，可以窃取用户的个人账号信息，它们存储在Taobao/Weibo/QQ等网站的cookie中。
小白：那他们有对这款恶意软件采取什么措施吗？
大东：该实验室认为，出于进一步扩大感染范围的目的，更多的投递方式会被攻击者衍生出，包括利用垃圾邮件和水坑网站等。和该恶意软件相关的此类威胁应被及时处置，因此，应对其分发渠道，实施持续的长期监控。
小白：既然我们一直在谈论窃取cookie的内容，东哥，那我们再聊聊cookie都有哪些安全威胁吧。
大东：首先，是对Cookie的捕获和重放，通过使用恶意程序，如跨站脚本、木马，黑客可以偷窃用户的Cookie 。如果cookie被捕获，通过猜测访问令牌，黑客可以获得敏感信息，例如会话ID、用户角色、用户名、密码和时间戳；或者重放cookie ，以便黑客可以伪造受害者的身份并发动攻击。
小白：还有吗？
大东：会话固定（SessionFixation）攻击会使受害者在登录网站时使用攻击者的身份，从而窃取会话信息，这是通过将攻击者控制的身份验证Cookie和其他信息注入受害者的主机来实现的。
小白：注入Cookie的方法有哪些呢？
大东：注入Cookie的方法包括：使用恶意程序，如木马或跨站点脚本；在与合法网站相同的域中伪造假冒网站，并欺骗用户访问，把攻击者自己域的Cookie ，通过HTTP响应中的Set-Cookie头，发送给用户等。
小白：还有其他的威胁么？
大东：还有跨站请求伪造（Cross-SiteRequestForgery ，简称CSRF）攻击，即攻击者可能利用网页中的恶意代码，强迫受害者的浏览器向被攻击的Web站点发送伪造请求，盗取受害者的认证Cookie等身份信息，从而假冒受害者对目标站点执行指定的操作。