Chào các bạn, đã bao giờ bạn thắc mắc hacker làm cách nào để hack tài khoản Facebook, Gmail hay bất kỳ tài khoản nào khác...ngay cả khi bạn bật tính năng bảo mật xác thực 2 bước. Dưới đây là tóm tắt quá trình cách hacker đánh cắp tài khoản mình nghiên cứu dựa trên một mẫu mã độc thực tế
Cơ chế lưu thông tin tài khoản của trình duyệt?
Khi chúng ta đăng nhập bất kỳ một tài khoản nào trên trình duyệt. Lúc đó thông tin phiên đăng nhập sẽ được lưu trong file Cookies của trình duyệt, tiếp theo trình duyệt sẽ hỏi bạn có muốn lưu mật khẩu không. Nếu bạn chọn đồng ý, trình duyệt sẽ lưu thông tin mật khẩu vào file Login Data
Trình duyệt Chrome phổ biến nhất, mình sẽ mô tả chi tiết về trình duyệt này, các trình duyệt khác như Firefox, Opera... cơ chế cũng tương tự.
Đường dẫn lưu Cookie: C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies
Đường dẫn lưu user/pass: C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Login Data
Cookie và User/Pass được lưu trong 2 file ở trên, trước khi lưu trình duyệt đã mã hóa, tuy nhiên dữ liệu này hoàn toàn có thể giải mã để lấy được plaintex. Chrome phiên bản 80 về trước mình đã có bài giải mã lấy mật khẩu, các bạn có thể tham khảo tại đây. Các phiên bản Chrome 80 trở về sau bổ sung thêm mã hóa AES, các bạn có thể tìm hiểu cách giải mã trên stackoverflow và code trên github tại đây
Như vậy, khi hacker có được 2 thông tin plaintex cookies và user/pass hoàn toàn có thể dùng chúng để lấy cắp tài khoản của bạn. Hacker dùng cookies để đăng nhập tài khoản Facebook, Gmail... để không cần xác thực 2 bước. Sau đó hacker vào tài khoản thực hiện đổi số điện thoại, email khôi phục (lúc đổi có yêu cầu nhập mật khẩu) và đăng xuất ra khỏi thiết bị của bạn, khi đó tài khoản của bạn đã bị mất vĩnh viễn.
Chi tiết về mã độc?
- Thông tin cơ bản của mã độc: Code bằng C#, bị pack, obfuscate
- Sau mấy ngày chiến đấu mình đã unpack được code đẹp của mã độc, chúng ta có thể thấy C&C của mã độc: https://iphoneweb.xyz/
- Đây là đoạn code mã độc đọc và giải mã cookie, login data của trình duyệt
- Sau khi lấy được mã độc sẽ đóng gói kết quả và gửi về C&C
- Trên là những đoạn code chứng minh mã độc ăn cắp tài khoản của chrome, ngoài ra mã độc ăn cắp trên các trình duyệt khác như Firefox, Opera và rất nhiều hành vi động hại khác.
=> Tổng kết mã độc này có những hành vi độc hại sau
Xem đầy đủ tại https://nhathohoanghuy.blogspot.com/2021/09/cach-hack-facebook-gmail-vuot-qua-xac.html
Khi chúng ta đăng nhập bất kỳ một tài khoản nào trên trình duyệt. Lúc đó thông tin phiên đăng nhập sẽ được lưu trong file Cookies của trình duyệt, tiếp theo trình duyệt sẽ hỏi bạn có muốn lưu mật khẩu không. Nếu bạn chọn đồng ý, trình duyệt sẽ lưu thông tin mật khẩu vào file Login Data
Trình duyệt Chrome phổ biến nhất, mình sẽ mô tả chi tiết về trình duyệt này, các trình duyệt khác như Firefox, Opera... cơ chế cũng tương tự.
Đường dẫn lưu Cookie: C:\Users\
Đường dẫn lưu user/pass: C:\Users\
Cookie và User/Pass được lưu trong 2 file ở trên, trước khi lưu trình duyệt đã mã hóa, tuy nhiên dữ liệu này hoàn toàn có thể giải mã để lấy được plaintex. Chrome phiên bản 80 về trước mình đã có bài giải mã lấy mật khẩu, các bạn có thể tham khảo tại đây. Các phiên bản Chrome 80 trở về sau bổ sung thêm mã hóa AES, các bạn có thể tìm hiểu cách giải mã trên stackoverflow và code trên github tại đây
Như vậy, khi hacker có được 2 thông tin plaintex cookies và user/pass hoàn toàn có thể dùng chúng để lấy cắp tài khoản của bạn. Hacker dùng cookies để đăng nhập tài khoản Facebook, Gmail... để không cần xác thực 2 bước. Sau đó hacker vào tài khoản thực hiện đổi số điện thoại, email khôi phục (lúc đổi có yêu cầu nhập mật khẩu) và đăng xuất ra khỏi thiết bị của bạn, khi đó tài khoản của bạn đã bị mất vĩnh viễn.
Chi tiết về mã độc?
- Thông tin cơ bản của mã độc: Code bằng C#, bị pack, obfuscate
- Sau mấy ngày chiến đấu mình đã unpack được code đẹp của mã độc, chúng ta có thể thấy C&C của mã độc: https://iphoneweb.xyz/
- Đây là đoạn code mã độc đọc và giải mã cookie, login data của trình duyệt
- Sau khi lấy được mã độc sẽ đóng gói kết quả và gửi về C&C
- Trên là những đoạn code chứng minh mã độc ăn cắp tài khoản của chrome, ngoài ra mã độc ăn cắp trên các trình duyệt khác như Firefox, Opera và rất nhiều hành vi động hại khác.
=> Tổng kết mã độc này có những hành vi độc hại sau
- Ăn cắp cookies, user/pass
- Ăn cắp ví tiền ảo
- Ăn cắp tài khoản Outlook
- Lấy thông tin máy tính
- Chụp ảnh màn hình
- Tải và thực thi mã độc khác
Xem đầy đủ tại https://nhathohoanghuy.blogspot.com/2021/09/cach-hack-facebook-gmail-vuot-qua-xac.html
Lưu Diệc Phi
| |
|
|
|