Photo by Bastian Riccardi on Unsplash
研究人员发现一个之前不为人所知的Google端点,可被骇客用来恢复原本失效的连线或重复产生cookies,即使用户变更了密码,借此劫持用户Google帐号。
11月资安厂商发现一个Lumma窃资软体服务,其开发人员宣称其软体能从受害电脑窃取与Google服务有关的cookie,之后可用以劫持Google帐号,强调使用者就算登出、更换密码,原本的cookie依然能用。不过该软体成功让cookies「复活」的方法仍不得而知。但另一家资安业者CloudSEK揭露其中原理,发现和Google一个名为MultiLogin的端点有关。
CloudSEK研究团队2023年10月发现一个名为PRISMA的骇客在Telegram频道上,宣传一个零时差攻击的解决方案以招揽客户。他宣称其方法可以长时间维持有效连线(session),即使帐号变更了密码,也可以产生cookies以便连线中断后能再登入受害者帐号。
研究人员表示,11月底流传的数项窃资软体都包含这方案,显然为其「客户」,包括Lumma、Rhadamanthys、Risepro、Meduza、Stealc Stealer等。而Eternity Stealer也正在开发包含本技术的更新版。
CloudSEK研究人员透过逆向工程,揭露出本方案的运作方式。窃资软体是锁定Chrome的WebData档中的Token_service表,目前在撷取GAIA ID,以及加密用的token,后者又是利用储存于UserData资料夹的Chrome Local State的加密金钥来解密。
图片来源_CloudSEK
但另一关键在于Google端点MultiLogin。这个端点虽然被用于骇客的方案中,但却未明载于Google文件。MultiLogin端点是Google OAuth系统很重要的环节,可利用帐号ID和auth-login token实现同步连线或在使用者多个用户资料档(user profile)之间无缝切换。
图片来源_CloudSEK
窃资软体Lumma的方法就是结合使用Google Chrome取得的GAIA ID/token及MultiLogin端点,得以重新产生Google服务cookies。Lumma的创新在于以私有金钥加密GAIA ID/Token。这可以避免其技巧被其他恶意组织模仿,也能防范被网路安全软体侦测到MultiLogin端点和外部恶意程式C2伺服器的连线,而曝露行踪。不过Lumma之后使用SOCKS代理伺服器回避Google防范重新产生cookies的作法,无意间泄露其踪迹。
Lumma可以持续重新产生Google服务的cookies,即使用户重设密码,允许骇客能不断存取用户Google帐号而不被发现,而且加密token的行为,也突显网路攻击手法日渐高明。