一、小白剧场

小薇：东哥，最近某社交网站发生了——起事件，出现了窃取社交平台账户信息的邪恶木马。你听到了吗？

大同：我听说过，小白没想到你的消息相当快！

小薇：那么，我们也是知道开源信息的铁骨同粉，这是什么木马病毒？

大同：叫做FFDroider。一个新的特洛伊木马病毒程序，可以窃取信息。

小薇：用什么方法窃取账户信息？

大同：可以绑架社交媒体账号。通过使用cookie和凭证，这种数据通常由受害者存储在浏览器中。

小薇：你能详细说一下这个木马病毒的细节吗，东哥？

第二，说事件

大同：2022年4月初，能够为云计算提供安全服务的美国一家公司的研究员Win32。发现了一个名为PWS.FFDroider的软件(FFDroider)的新恶意软件。

小薇：这个软件发动过攻击吗？

大同：据该安全研究组称，FFDroider模仿了消息应用程序Telegram，Telegram被广泛使用。为了执行攻击，FFDroider首先访问用户设备，例如PC。此后，FFDroider将从包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge在内的浏览器中窃取cookie和凭据等数据。

Telegram应用程序(在web上提供照片)

小白：偷了饼干后，攻击者会进行什么攻击？

大同：FFDroider利用被盗的Cookie，攻击者登录用户的社交媒体平台提取账户信息，然后利用这些信息窃取更多敏感信息或个人信息。例如，通过虚假广告引诱用户输入敏感信息，并通过这些信息进行更多攻击。

小薇：这个恶意软件主要攻击什么平台？

大同：该公司表示，该恶意软件对某社交平台的攻击效果最为明显。此外，亚马逊、eBay、Etsy等电子商务平台的用户也是目标。一旦窃取用户的个人信息，犯罪分子就可以利用它进行诈骗、盗用金钱等非法行为。

小薇：那这个恶意软件的具体信息盗用过程是怎么样的呢？

大同：该公司的研究人员对该恶意软件的传播进行了长期跟踪，研究了最近的样品，并据此发表了详细的技术分析。使用从种子网站下载的文件，FFDroider可以像其他许多恶意软件一样传播，包括游戏、破解软件、免费软件等。

小薇：怎么传播？

大同：为了避免在下载其他文件或软件的过程中检测，FFDroider伪装成桌面应用程序Telegram存在，完成安装。恶意软件由用户运行时，将生成名为“FFDroider”的Windows注册表项。

Zscaler模拟的FFDroider在受感染的系统上创建注册表项(图来自网络)

小薇：注册表项后面呢？

大同：cookie和帐户凭据是FFDroider的目标，此数据通常存储在浏览器中，如Google chrome、Mozilla Firefox、Internet Explorer、Microsoft Edge等。

小薇：那你怎么偷饼干和账户凭证呢？

大同：恶意软件滥用界面Windows Crypt API。特别是，滥用CryptUnProtectData函数使Chromium Sqlite cookie和SQLite Credential存储的读取、解析和解密成为可能。

小薇：对其他类型浏览器的攻击方式也是这样吗？

大同：偷其他浏览器的过程是相似的。例如，使用InternetGetCookieRxW、IE GET Protected Mode cookie等捕获Explorer和Edge中存储的所有cookie。

Zscaler模拟的恶意软件执行功能，从IE中窃取Facebook Cookies （图片来自网络）

小白：窃取了cookies之后呢？

大东：在完成窃取和解密后，该恶意软件会通过HTTP POST请求，把生成的明文用户名和密码泄露给C2服务器。

该公司模拟的通过POST请求泄漏被盗数据（图片来自网络）

小白：那FFDroider与其他木马的区别在哪里呢？

大东：窃取对象是它与其他木马区别的一点，对存储在浏览器的所有账户凭证，FFDroider的运营商不感兴趣，而是专注于对一些有效cookie的窃取，它们可用于在社交媒体账户和电子商务网站进行身份验证在此过程中，恶意软件会进行动态测试。

小白：可以举个例子说明一下吗？

大东：举例来说，FFDroider如果能通过某社交平台的身份验证，就可以从其广告管理器中获取各种信息，如所有的页面和书签，以及和受害者相关的信息，包括好友数量、账单和支付信息等。

小白：进而会发展更深层次的社交攻击吧？

大东：没错，这些信息可能被威胁参与者利用，进一步地，在社交媒体平台开展欺诈性广告活动，并向更多人推广他们的恶意软件。

三、大话始末

小白：FFDroider主要针对国外的社交媒体网站，那它对国内的社交媒体网站有威胁吗，我们的国内公民信息会受到威胁吗？

大东：在该公司分析这起攻击事件之后，某实验室也深入分析了该事件中的攻击技术，并发现，针对国内用户，经轻微修改，该信息窃取工具就能够实施类似的攻击，从而窃取国内公民的个人信息。

小白：他们做了哪些实验呢？

大东：通过选用研究员的个人主机，浏览器使用默认安全配置，在此条件下，该实验室进行了安全测试，并发现使用与该恶意软件类似的技术手段，可以窃取用户的个人账号信息，它们存储在Taobao/Weibo/QQ等网站的cookie中。

小白：那他们有对这款恶意软件采取什么措施吗？

大东：该实验室认为，出于进一步扩大感染范围的目的，更多的投递方式会被攻击者衍生出，包括利用垃圾邮件和水坑网站等。和该恶意软件相关的此类威胁应被及时处置，因此，应对其分发渠道，实施持续的长期监控。

小白：既然我们一直在谈论窃取cookie的内容，东哥，那我们再聊聊cookie都有哪些安全威胁吧。

大东：首先，是对Cookie的捕获和重放，通过使用恶意程序，如跨站脚本、木马，黑客可以偷窃用户的Cookie。如果cookie被捕获，通过猜测访问令牌，黑客可以获得敏感信息，例如会话ID、用户角色、用户名、密码和时间戳；或者重放cookie，以便黑客可以伪造受害者的身份并发动攻击。

小白：还有吗？

大东：会话固定（Session Fixation）攻击会使受害者在登录网站时使用攻击者的身份，从而窃取会话信息，这是通过将攻击者控制的身份验证Cookie和其他信息注入受害者的主机来实现的。

小白：注入Cookie的方法有哪些呢？

大东：注入Cookie的方法包括：使用恶意程序，如木马或跨站点脚本；在与合法网站相同的域中伪造假冒网站，并欺骗用户访问，把攻击者自己域的Cookie，通过HTTP响应中的Set-Cookie头，发送给用户等。

小白：还有其他的威胁么？

大东：还有跨站请求伪造（Cross-Site Request Forgery，简称CSRF）攻击，即攻击者可能利用网页中的恶意代码，强迫受害者的浏览器向被攻击的Web站点发送伪造请求，盗取受害者的认证Cookie等身份信息，从而假冒受害者对目标站点执行指定的操作。

小白：还有吗？

大东：最后一个是恶意Cookies。由于Cookies是文本文件，因此，通常认为它们不会构成安全威胁。但是，如果通过特殊的标记语言将可执行代码插入cookies，则可能给用户带来严重安全隐患。

小白：什么样的隐患呢？

大东：如果cookie包含可执行的恶意代码段，该恶意代码段将在显示带有 cookie 的网页时自动执行。当然，恶意代码是否真的能造成危害还取决于网站的安全配置策略。

小白：说了这么多cookie的威胁，我们有哪些安全防御措施呢？

大东：首先，对服务器端，主要的保护措施有：添加MAC进行完整性验证；防止非法用户非法拦截后重放，对相关信息进行用户数字签名，加强有效性验证；cookie本身采用随机密钥加密，从而保证其信息安全。

小白：对于客户端呢？

大东：对访问的不同网站，出于保证本地Cookie安全的目的，在客户端浏览器中都采用了统一Cookie加密，在相应系统目录下，只有一个与Cookie相关的加密文件为可见，并且，其中的Cookie文件被浏览器加密，用户不可见，增强了安全性。

四、小白内心说

小白：那对于这个恶意程序，我们应当采取哪些防御措施呢？

大东：该恶意软件的传播，是利用了受害者安全意识薄弱这一点，用户对未经验证的安装程序随意下载，这一行为使该恶意软件能异常轻松地传播。

小白：没错，我们应当时刻提醒自己不要随意下载软件。

大东：为了避免类似事件发生，对于个人用户来说，我们需要提高自身安全意识，尽可能下载官方网站来源的软件，对下载的文件进行必要的安全检查。

小白：对于事业单位呢？

大东：为增强企事业单位内部的网络安全，首先应加强对员工的培训和教育，增强网络安全意识，其次，应把终端安全软件安装在每一台主机上，并限制单位员工个人下载安装程序使用非官网渠道，以保障内部网络的安全性。

小白：除了这些建议，有没有针对cookie安全进行某些安全设置的建议呢？

大东：我们建议，对于个人用户，应该对浏览器适当限制cookie存储权限。

浏览器Cookie权限设置（图片来自网络）

参考资料：

1. FFDroider佯装成Telegram攻击窃取浏览器用户密码

;wfr=spider&for=pc

2. Zscaler：伪装成电报应用程序的FFDroider恶意软件会窃取社交媒体账号

3. cookie是什么？如何防范劫持？

4. FFDroider恶意软件可窃取国内用户隐私数据

来源：中国科学院信息工程研究所