可以說(shuō)，從各種密碼到電子文件的副本，所有用戶數(shù)據(jù)都是黑客關(guān)心的。

原因很簡(jiǎn)單，幾乎任何用戶數(shù)據(jù)都可以用來(lái)獲取非法收益。

舉例來(lái)說(shuō)，被盜的密碼就可以被用來(lái)劫持用戶的賬戶，進(jìn)而將賬戶下的資金全都轉(zhuǎn)移到黑客的賬戶下。如果黑客們?cè)敢?，他們也可以將這些數(shù)據(jù)轉(zhuǎn)手賣給別人，直接將數(shù)據(jù)換成錢。

據(jù)卡巴斯基實(shí)驗(yàn)室最新公布的數(shù)據(jù)，僅在今年上半年，就有超過(guò)94萬(wàn)名用戶遭遇了旨在竊取保存在他們計(jì)算機(jī)上的各種數(shù)據(jù)的惡意軟件攻擊，主要集中在俄羅斯、德國(guó)、印度、巴西、美國(guó)和意大利。

圖1.信息竊取惡意軟件攻擊分布圖

此類惡意軟件通常被稱為“Stealer Trojans（信息竊取木馬）”或“Password Stealing Ware（PSW，密碼竊取程序）”，一旦成功感染目標(biāo)計(jì)算機(jī)，就能竊取包括密碼、文件在內(nèi)的各種用戶數(shù)據(jù)。

信息竊取惡意軟件具體都有哪些功能？

在暗網(wǎng)黑客論壇上，我們經(jīng)查都會(huì)看到有關(guān)此類惡意軟件的廣告，賣家往往也都會(huì)詳細(xì)地列出自家“產(chǎn)品”的具體功能。

圖2.暗網(wǎng)黑客論壇上的信息竊取惡意軟件廣告

總的來(lái)說(shuō)，大多數(shù)信息竊取惡意軟件都具有如下功能：

（1）從瀏覽器抓取數(shù)據(jù)：

• 密碼
• 自動(dòng)填充數(shù)據(jù)
• 支付卡信息
• Cookie

（2） 復(fù)制文件：

• 特定目錄下的所有文件，如桌面
• 特定擴(kuò)展名文件，如txt、docx
• 特定軟件安裝文件夾下的文件，如加密貨幣錢包、即時(shí)通訊軟件等

（3）收集系統(tǒng)信息：

• 操作系統(tǒng)版本
• 用戶名
• IP地址

（4）竊取各種軟件的賬號(hào)和密碼，如FTP客戶端、VPN、RDP等

（5）截屏

（6）從互聯(lián)網(wǎng)下載文件

值得一提的是，類似于Azorult（卡巴斯基實(shí)驗(yàn)室在超過(guò)25%的被攻擊用戶的計(jì)算機(jī)上都檢測(cè)到了Azorult）這樣的多功能信息竊取惡意軟件，幾乎可以獲取受感染計(jì)算機(jī)上的所有數(shù)據(jù)：

• 完整的系統(tǒng)信息，如已安裝的軟件、正在運(yùn)行的進(jìn)程列表、用戶名或計(jì)算機(jī)名、系統(tǒng)版本等；
• 完整的硬件信息，如CPU、顯示器、顯卡等；
• 幾乎所有主流瀏覽器中保存的密碼、支付卡數(shù)據(jù)、Cookie、瀏覽歷史記錄；
• 郵箱、FTP、即時(shí)通訊軟件客戶端的密碼；
• 即時(shí)通訊軟件安裝文件夾下的文件；
• Steam游戲客戶端安裝文件夾下的文件；
• 超過(guò)30種加密貨幣錢包安裝文件夾下的文件；
• 截屏；
• 特定類型的文件，如“USERPROFILE\Desktop\”文件夾下（即桌面上）的所有具有特定擴(kuò)展名（.txt、.jpg、.png、.zip、.rar、.doc）的文件。

為什么要專門收集位于桌面上的文件？這是因?yàn)榇蠖鄶?shù)用戶通常都會(huì)把常用的文件保存在桌面上。比如，常用的密碼一般都會(huì)被保存在.txt文件里，而像.doc這樣的Office文檔則很可能包含有用戶公司的機(jī)密信息。

圖3. Azorult的攻擊分布圖

惡意軟件如何從瀏覽器竊取數(shù)據(jù)？

在竊取瀏覽器數(shù)據(jù)（密碼、支付卡信息、自動(dòng)填充數(shù)據(jù)）方面，幾乎所有的信息竊取惡意軟件都采用了大致相同的方式。

Google Chrome和基于Chromium的瀏覽器

眾所周知，在基于Chromium的瀏覽器中，保存的密碼都受到了DPAPI（Data Protection API）的保護(hù)，這是通過(guò)SQLite數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)的。只有創(chuàng)建這些密碼的管理員用戶才能夠從SQLite數(shù)據(jù)庫(kù)中提取它們，而且只能在加密它們的計(jì)算機(jī)上提取。

然而，對(duì)于已經(jīng)成功侵入計(jì)算機(jī)的信息竊取惡意軟件來(lái)說(shuō)，這并不能成為阻礙，因?yàn)樗鼈儽旧砭褪且怨芾韱T用戶權(quán)限運(yùn)行的。按照如下步驟執(zhí)行，它們就能夠提取瀏覽器中保存的數(shù)據(jù)：

• 提取數(shù)據(jù)庫(kù)文件-對(duì)于基于Chromium的瀏覽器而言，用來(lái)保存用戶數(shù)據(jù)的文件的路徑是固定不變的，很容易找到；
• 讀取加密數(shù)據(jù)-如上所述，基于Chromium的瀏覽器使用的是SQLite數(shù)據(jù)庫(kù)，使用一些標(biāo)準(zhǔn)工具就能從中讀取數(shù)據(jù)；
• 解密數(shù)據(jù)-通過(guò)調(diào)用CryptUnprotectData函數(shù)，就能夠直接在受感染計(jì)算機(jī)刪直接完成解密。

圖4. 信息竊取木馬Arkei的源代碼片段（用于解密從基于Chromium的瀏覽器中竊取的數(shù)據(jù)）

就這樣，無(wú)論是保存的密碼，還是支付卡信息或?yàn)g覽歷史記錄，都能夠被竊取并隨時(shí)發(fā)送到由黑客們控制的服務(wù)器上。

Firefox和基于Firefox的瀏覽器

基于Firefox的瀏覽器的在數(shù)據(jù)加密上略有一些不同，但對(duì)信息竊取惡意軟件來(lái)說(shuō)，獲取它們的過(guò)程同樣簡(jiǎn)單。

在Firefox瀏覽器中，加密使用了Network Security Services（一組Mozilla用來(lái)開發(fā)安全軟件的庫(kù)）和n庫(kù)。

與基于Chromium的瀏覽器一樣，信息竊取惡意軟件從瀏覽器中提取保存的數(shù)據(jù)的過(guò)程如下：

• 提取數(shù)據(jù)庫(kù)文件-基于Firefox的瀏覽器會(huì)生成隨機(jī)的用戶配置文件名，使得保存用戶數(shù)據(jù)的文件無(wú)法事先預(yù)知。但通過(guò)匹配特定的文件名，信息竊取惡意軟件仍然能夠找到這些文件的位置。此外，即使用戶卸載了瀏覽器，這些文件也不會(huì)被刪除。
• 讀取加密數(shù)據(jù)-加密數(shù)據(jù)分為兩種，一種是和基于Chromium的瀏覽器一樣保存為SQLite格式，另一種則保存為JSON文件格式。
• 解密數(shù)據(jù)-想要解密數(shù)據(jù)，信息竊取惡意軟件就需要加載n庫(kù)，然后調(diào)用多個(gè)函數(shù)來(lái)對(duì)數(shù)據(jù)進(jìn)行解密。

圖5.信息竊取木馬Orion的源代碼片段（用于解密從基于Firefox的瀏覽器中竊取的數(shù)據(jù)）

IE和 Edge瀏覽器

在IE 4.X到6.0版本中，用戶的密碼和自動(dòng)填充數(shù)據(jù)都保存在所謂的Protected Storage受保護(hù)存儲(chǔ)區(qū)域中。為了提取這些數(shù)據(jù)，信息竊取惡意軟件需要加載庫(kù)。

IE 7和8版本使用了略有不同的方法：使用的存儲(chǔ)區(qū)域被稱為“Credential Store”，并且使用進(jìn)行了SALT加密。不過(guò)，由于SALT值是固定的，導(dǎo)致信息竊取惡意軟件能夠通過(guò)調(diào)用相同的CryptUnprotectData函數(shù)來(lái)獲取所有保存的密碼。

雖然IE 9和Edge使用了一種被稱為“Vault”的新型存儲(chǔ)方式，但信息竊取惡意軟件仍能夠通過(guò)vaul并調(diào)用幾個(gè)函數(shù)來(lái)提取用戶數(shù)據(jù)。

安全建議

在日常生活和工作中，我們常常會(huì)將一些重要的數(shù)據(jù)保存在瀏覽器中（比如，允許賬號(hào)和密碼自動(dòng)填充），主要就是為了圖個(gè)方便。

卡巴斯基實(shí)驗(yàn)室的這份報(bào)告則給我們提了個(gè)醒，目前市面上的大多數(shù)瀏覽器所使用的數(shù)據(jù)保護(hù)方法，對(duì)于信息竊取惡意軟件來(lái)說(shuō)似乎并沒(méi)有多少用處。

因此，建議大家還是盡量不要將重要的數(shù)據(jù)保存在瀏覽器中的好。如果已經(jīng)養(yǎng)成了這個(gè)習(xí)慣，那么一定不要下載并運(yùn)行可疑文件，也不要點(diǎn)擊可疑電子郵件中的不明鏈接。