骇客为了挟持特定服务的使用者帐号,最近几年经常会利用对手中间人(AiTM)攻击手法,借由代替受害人存取、进行身分验证,取得登入过程建立的cookie、连线阶段(Session),从而在无需知道密码,也不需通过双因素验证(MFA)的情况下,掌握他们的帐号。但如今,有骇客声称能借由过期的cookie,照样能入侵特定服务的使用者帐号。
照理而言,上述连线阶段所使用的cookie,主要的用途是让使用者一段时间里能自动登入某向网站服务,无须逐次手动登入,基于安全性考量、避免遭窃而被滥用,这种cookie都具备有效期限。在AiTM攻击手法当中,攻击者也是窃取使用者当下登入网站服务的cookie加以滥用。这种让cookie「起死回生」再拿来利用的情况,可是头一次出现。
窃资软体首度提供复原Google帐号的cookie功能
资安业者Hudson Rock指出,他们近期看到打造窃资软体Lumma(亦称LummaC2)的开发人员
针对这项手法,Hudson Rock的研究人员从感染窃资软体Lumma的电脑上,,发现这些骇客运用了极为复杂的手法回避侦测,当中的伎俩,包含:控制流程的扁平化混淆(Control Flow Flattening Obfuscation)、真人操作滑鼠行为的侦测、XOR加密、支援动态的组态档案等。 其中最为特殊的是侦测使用者操作滑鼠的行为,骇客为了确认此恶意程式是否在研究人员的沙箱环境执行,他们利用三角学(Trigonometry)来追踪滑鼠游标的位置,以50毫秒的间隔记录5个位置,然后透过欧几里得向量(Euclidean Vector)进行计算,若是得出的角度低于45度,才会认定是人类操作的行为,执行该窃资软体。