日前,360安全中心率先截獲一款專門盜取「QQ號+Cookie」的新型木馬—「Cookie大盜」。利用該木馬,黑客能夠獲得受害用戶的QQ權限,利用受害者的QQ空間、QQ郵箱、說說等發布廣告欺詐信息,甚至長期偷窺受害者的QQ郵箱郵件。
據悉,以往木馬盜號主要是盜「QQ號+密碼」,但「Cookie大盜」木馬的攻擊目標除了用戶的QQ號之外還有Cookie信息。黑客藉助「Cookie+ QQ號」,可輕鬆獲取受害者的QQ權限。且該木馬還能通過Cookie維護器定期向伺服器發消息,以實現長時間控制用戶權限的目的,而Cookie提取和倒賣也已經成為木馬黑色產業鏈「洗號」的重要手段。
據安全工程師介紹,Cookie大盜主要通過虛假色情網站傳播,其危害包括:監視QQ郵箱郵件、洗劫QQ帳戶虛擬財產、利用社工騙取受害者家屬錢財、利用受害者QQ空間發廣告和欺詐信息、刷日誌轉載、刷說說分享、加認證空間關注等。
目前,360安全衛士和殺毒均可攔截查殺Cookie大盜木馬。如果有用戶因使用外掛、色情播放器而冒險關閉安全軟體中了木馬,一旦發現自己QQ空間發布異常的廣告信息、或關注了陌生帳號,應立即註銷QQ帳號並重新登錄。或者立即通過「QQ安全中心」修改密碼,從而使木馬盜取的Cookie認證信息失效,以避免遭受更大的損失。
圖:360安全衛士攔截「Cookie大盜」
附:Cookie大盜木馬分析報告
1、木馬傳播:虛假色情網站播放器
QQ Cookie大盜主要通過虛假色情網站傳播:
木馬偽裝為視頻播放器的引導程序:
值得注意的是該色情播放器引導程序還會流氓推廣一些軟體,如下圖所示sun.exe(盜用魯大師圖標)則是Cookie大盜木馬:
2、木馬原理:盜取Cookie+QQ號
木馬啟動後,先製作一段盜取Cookie的網頁代碼:
之後通過mshtml的execscript執行插入的代碼,類似於網購木馬的手法:
竊取到用戶Cookie信息:
再盜竊用戶QQ帳號、暱稱這些信息,然後打包發到木馬後臺:
3、木馬盜Cookie目的:獲取受害用戶QQ權限
QQ登錄之後會返回的Cookie中,帶有一個stkey的值。通過stkey,能夠計算出一個校驗值,利用這個校驗值,就可以向QQ空間發送消息,添加關注,甚至查看QQ郵箱郵件等,擁有受害者QQ的權限。
利用受害用戶QQ發廣告:
各類營銷工具也在網上泛濫:
4、以「關注某個認證空間」具體的案例還原整個過程:
1、用戶本地運行QQ Cookie大盜之後,木馬上傳QQ帳號和暱稱信息以及Cookie信息到木馬後臺;
2、木馬作者在後臺收集N多此方法盜取的Cookie,然後用它們自己的Cookie維護工具進行維護,以防Cookie失效;
3、傳統意義上的QQ信封交易正在從以帳號、密碼為內容遷移到以帳號、Cookie為內容;
4、有了受害者的帳號以及Cookie,有的人用來做日誌轉載,有的人做說說分享,有的人做關注認證空間。網上可以找到一款關注認證空間的工具,截圖如下:
關注空間的技術原理也很簡單,就是從Cookie中提取出skey這個參數
然後按照如下的算法,計算出g_tk
得到g_tk之後,發包完成關注操作:
其它日誌轉載等操作與之類似。
5、新型「洗號」手段:倒賣Cookie
以往木馬盜號洗號主要目標是QQ帳號和密碼,如今不法分子洗號則是利用Cookie提取器提取Cookie,然後進行倒賣。在某些論壇和貼吧裡,黑客工具作者正在公開售賣如下Cookie提取工具:
6、360安全軟體可防禦
攔截木馬下載地址:
木馬防火牆主動防禦:
對木馬盜取Cookie進行攔截:
對木馬發送信息進行攔截:
7、關閉安全軟體而中招怎麼辦:立刻讓Cookie失效
登錄Cookie的有效期一般都不長,但是攻擊者拿到Cookie後會定期向騰訊伺服器發送消息,保持Cookie有效進行長時間控制。如果網友發現自己QQ帳號出現異常情況,應註銷QQ帳號重新登陸,使原Cookie失效;此外,訪問QQ安全中心修改密碼,也可以使Cookie失效,從而擺脫Cookie大盜的控制。