黑客怎样运用Facebook Messenger跨系统入侵攻击活动 深度研究

媒介
咱们经常会运用 Facebook Messenger 与小伙伴分享风趣的那个影片或资讯链接，不外近来你要提高警惕了，因为黑客能够正经由进程这些链接传播歹意的恶意软件。最近，卡巴斯基网络安全实验室和Detectify实验室的研讨人员发觉，黑客正利用 Facebook Messenger 停止跨平台进击运动， 即以目的用户石友身份发送颠末处置的视频链接。一旦点击链接，则会依据用户浏览器与操纵体系将其从新定向至虚伪网站，并引诱用户下载歹意扩大法式，从而主动下载歹意告白软件至用户电脑装备。今朝，卡巴斯基实验室针对此威逼停止评价。来自Detectify实验室的Frans Rosé也在对此停止阐发研讨。是以，卡巴斯基研讨员David Jacoby和Detectify的研讨员Frans Rosé决议配合撰写这次变乱的研讨报告。
流传机制
Frans Rosé消费了相称长的光阴对JavaScript停止阐发，并试图弄清楚歹意软件的流传办法。从表面上看，这貌似是一个简略的工作，但实际环境并不是如此。这项工作触及多个步调，此中就包含肯定Javascript的有用载荷。别的，由于是由剧本决议甚么时候提议收集进击，是以要实时存眷进击者甚么时候提议进击。
利用Chrome流传的歹意软件不仅仅是流传歹意的收集链接，还会收集和统计受害者的信息。咱们尝试将这次歹意软件流传进程停止分化，总结上去重要分为如下几个步调：
1、受害者从同伙那边收到Facebook Messenger的链接。

2、一旦对方点入就会扶引到一个Google Doc网页，此中实际的是一个同伙头像照片的虚伪的视频播放器。

3、点击这个链接并利用Chrome浏览器停止旁观，就会被复位向至虚伪的YouTube网站，同时该网站会引诱受害者从 Google 利用市肆下载歹意 Chrome 扩大法式（实际上它是一个Downloader）。

4、一旦装置了这个歹意的Chrome 扩大法式，受害者就会向其线上的同伙继承发送歹意链接。
Chrome 歹意扩大法式流传步调值得咱们深刻研讨——
Facebook的新闻框
新闻框中的信息包含用户的姓氏、“视频”（Video）一词和随机的emoji脸色：

和利用URL延长对象创立的链接。
Google文档同享PDF预览
点击链接后，用户就会被复位向到docs.google.com上的一个URL。此链接是经由进程利用同享PDF的预览链接制造的。这一能够性比较大，由于这是经由进程内部链接在正当的Google域上得到大型受控内容地区的最快办法。
PDF本身是利用PHP中的TCPDF 6.2.13创立的，而后利用Google Cloud Services上传Google文档。
TCPDF 6.2.13的PHP创立的，而后利用Google Cloud Services上传到Google文档。点击

就会转到一个正在预览的PDF文件的详细信息页面。
天生的链接的同享设置，此中包含一个风趣的细节：

上图中表现“任何人都能够编纂”（Anyone can edit”），这就意味着任何领有链接的人都能够对其停止编纂。让咱们来看看这个链接是若何流传开来的——进击对一切受害者facebook石友都发送了雷同的链接。但任何一个石友转变链接拜访权限，就会阻拦进击舒展到受害者的别的同伙。
别的一个风趣的细节是创立文档的用户。对大批的个案停止研讨就会发明此中的纪律：

上图所示是发送给四个分歧受害者的链接，但此中的三个链接都利用了一个雷同的IAM用户名（ID-34234），即使这三个链接利用的是分歧的Google Cloud名目创立的。
在黑客提议进击时，这些发送给受害者的pdf预览页面的URL都不在Google的黑名单之列。
从新定向
在点击Google文档链接后，用户将被从新定向，最有能够呈现的是指纹辨认浏览器。如下咱们将重点阐发Chrome浏览器。
Chrome扩大法式从新定向被从新定向至虚伪的YouTube网页
利用Chrome浏览器的用户将被从新定向至虚伪的YouTube网页。咱们留意到在进击时利用了几个分歧的域。

被从新定向的页面还会请求您装置Chrome扩大法式。由于用户能够直接在页面上装置Chrome扩大法式，是以受害者独一能够履行的操纵便是单击“增加扩大名”。一旦受害者点击了“增加扩大名”，黑客的进击行为就胜利了。
Chrome扩大法式
这里利用了多种Chrome扩大法式。一切的扩大法式都是新创立的，代码是从称号相似的扩大名中盗来的。这些扩大法式主如果利用background.js和manifest.json的修改版。

表现停止了变动以节制tabs和一切的URL，并启用对background.js的支撑：

咱们发明的一切Chrome扩大法式中的后盾剧本都是隐约的，但根基的剧本如下图所示：

隐约后盾剧本
这个剧本异常值得深刻斟酌。起首，用户只要从Chrome Webstore上装置了扩大法式，background.js能力得到内部URL；假如利用未打包的从当地装置的扩大法式则不会触发收集进击。
抓取的URL将包含别的一个剧本的援用。这个剧本将利用URL.createObjectURL发送到一个Javascript的Blob对象，而后运行background.js。
Blob对象中新天生的剧本异样是隐约的，如下图所示：

以后将呈现这两种环境：
1、假如tab加载胜利，就会为一切tab增加一个听众。
2、标签页面载入后，将向别的一URL地点提议哀求。假如该相应包含任何内容，将被发还标签页面，同时利用executeScript停止触发。该文件以后将在收回哀求的标签页面上运行Javascript，从而实时实现XSS注入。
得到一切剧本
停止辨认被注入文件的研讨时，我留意到进击者的C&C服务器并不是始终有代码前往。我开端预测，当进击提议时，进击者能够或许节制能否流传进击，和能否采用手动或特定手腕停止。
为了防止在这里白白坐等，我树立了伪扩大法式来模仿进击者的行为。固然，我并无激活相干代码，而是将其保存在当地。
一段光阴后，我留意到本身曾经得到很多点击量，点击者的终端均立即发还了回应码（back code）：

前往的代码没有颠末任何混杂处置，能够或许从中看清详细流程。该代码实际是专门针对Facebook而编写的。
该剧本将履行如下操纵：
检查运行的域中能否包含Facebook.com。
提取CSRF凭据以拜访Facebook，将其名为“fb_dtsg”。
检查能否曾经得到拜访凭据（得到拜访权限是为了实现Facebook API的身份验证）。
将拜访令牌（access token）和用户ID发送给进击者的内部站点。

确保平台功效已启用（禁用kill-switch）：
创立一个拜访令牌。今朝Facebook曾经弃用了FQL API，Facebook此前不停利用FQL API：

但是进击者发明，假如目的利用iOS体系中的“Pages Manager”利用法式定制拜访凭据，FQL API将继承坚持可用。
让咱们继承来看最风趣的部门，即这些剧本都干了甚么：
对进击者点赞Facebook页面的分析
该剧本将依据硬编码内容为一个Facebook页面点赞。而进击者很有能够是经由进程监控该页面的点赞数目来盘算受沾染用户的详细数目的。
在该进击的某一阶段中，咱们发明页面中的点赞数目激增，在短短数小时当中，从8900跃升到近32000：


异样显著的是，进击者能够或许经由进程C&C服务器中的剧本得到器来节制进击光阴。在进击进程中，该网页点赞数目的增长速度呈现出宏大差别。
进击者别的还数次更换了页面，很有能够是由于他们的页面遭到了Facebook封停。
获得石友列表
由于进击者曾经得到一个支撑FQL的拜访凭据，他们将能利用过时API获得受害者的同伙列表，并按上线日期停止分别，将不停坚持在线的同伙拔取进去。
他们经由进程一次拔取50名石友将其打乱，只要当这些石友处于余暇或在线状况时，才开端动员进击。
接着，他们将经由进程别的一域名天生链接，专门用于接管用户ID信息。这一链接将在Google Docs上创立PDF文件，记载今朝受害者的档案资料，再由一个短地点将其发还。
进击者接管该链接后，会再次随即向一切石友发送信息，并使该链接再次运行。
风趣的细节
在前面的进击中，植入代码的某些部门从未被利用过，或有所遗留。
此中一部门便是在适合条件下向每名石友发送新闻的定位功效，在实际进击中其被换成为了随机的emoji脸色：

login.php
进击者所利用的域中包含了一些文件，使咱们预测相似login.php在内的PHP文件应当存储此中。该文件将同时释放出一个Facebook登录剧本，和一个硬编码电子邮箱地点：

 

版本
咱们发明进击者利用了数种版本的Facebook注入剧本。在进击的末端阶段，该剧本仅仅点赞了Facebook页面，却并未动员进击。别的，用于收集拜访凭据的域名也从剧本中移除。
登录页
正如咱们所提到，剧本异样枚举了你正在利用的浏览器范例。Chrome拓展部门仅对利用Google Chrome的用户有用。假如你利用的是别的一种浏览器，相干代码也会履行别的敕令。
风趣的是，进击者固然对大多数操纵体系增加了支撑，但咱们并未收集到针对Linux操纵体系的任何样本。
咱们所收集的样本均为歹意告白法式，在受害者关上最后的登岸页时，将被复位向至数个
包含歹意邮件或告白的跟踪域。这也说明了进击者想要经由进程点击量或散发歹意邮件或告白停止投机。
Safari浏览器
MD5 (AdobeFlashPlayerInstaller.dmg) = d8bf71b7b524077d2469d9a2524d6d79
MD5 (FlashPlayer.dmg) = cfc58f532b16395e873840b03f173733
MD5 (MPlay.dmg) = 05163f148a01eb28f252de9ce1bd6978
这些均为虚伪的Adobe Flash更新，但受害者每次都邑封闭分歧的网站。为此，进击者彷佛轮番利用了一组域名。


火狐浏览器（Mozilla Firefox）
MD5 (VideoPlayerSetup_2368681540.exe) = 93df484b00f1a81aeb9ccfdcf2dce481
MD5 (VideoPlayerSetup_3106177604.exe) = de4f41ede202f85c370476b731fb36eb

“我沾染了这个，我该怎么办？
今朝，Google Chrome平安小组已禁用一切歹意扩大法式，然则当进击者利用歹意软件窃取了你的Facebook个人资料的同时，也窃取了你Facebook账号的拜访令牌（access-token）。这个拜访令牌能够使有光阴限定的，然则它的拜访权限异常之大。Facebook账号的拜访令牌主如果用于安卓体系的Facebook软件。一旦得到了你的拜访令牌，进击者就能够拜访用户的个人资料，岂论你能否变动了暗码、刊出Facebook账户或是封闭了Facebook上的的平台设置。

咱们今朝正在与Facebook就这个成绩停止探究。但今朝看来，受害者彷佛并无一个简略的办法破除被进击者偷走的拜访令牌。如今只能祷告进击者不要在令牌过时以前做任何工作。
咱们激烈倡议用户更新杀毒软件。
结语
进击重要依附实际的交际互动，静态用户内容和正当域名作为中央步调。上述分散机制的焦点沾染点是装置Chrome扩大法式。当你容许扩大进程节制浏览器运动时请非分特别留意。同时，也要弄清楚今朝你的浏览器上运行了哪些扩大法式。假如你利用的是Chrome浏览器，能够在URL中输出chrome://extensions/，以得到正在运行的扩大法式列表。