從各種密碼到電子文檔的副本，可以說任何用戶數據，都是黑客們感興趣的東西。原因很簡單，幾乎任何用戶數據都可以用來獲取非法收益。

舉例來說，被盜的密碼就可以被用來劫持用戶的賬戶，進而將賬戶下的資金全都轉移到黑客的賬戶下。如果黑客們願意，他們也可以將這些數據轉手賣給別人，直接將數據換成錢。

據卡巴斯基實驗室最新公布的數據，僅在今年上半年，就有超過94萬名用戶遭遇了旨在竊取保存在他們計算機上的各種數據的惡意軟件攻擊，主要集中在俄羅斯、德國、印度、巴西、美國和意大利。

圖1.信息竊取惡意軟件攻擊分佈圖

此類惡意軟件通常被稱為「Stealer Trojans（信息竊取木馬）」或「Password Stealing Ware（PSW，密碼竊取程序）」，一旦成功感染目標計算機，就能竊取包括密碼、文件在內的各種用戶數據。

信息竊取惡意軟件具體都有哪些功能？

在暗網黑客論壇上，我們經查都會看到有關此類惡意軟件的廣告，賣家往往也都會詳細地列出自家「產品」的具體功能。

圖2.暗網黑客論壇上的信息竊取惡意軟件廣告

總的來說，大多數信息竊取惡意軟件都具有如下功能：

（1）從瀏覽器抓取數據：

• 密碼
• 自動填充數據
• 支付卡信息
• Cookie

（2） 複製文件：

• 特定目錄下的所有文件，如桌面
• 特定擴展名文件，如txt、docx
• 特定軟件安裝文件夾下的文件，如加密貨幣錢包、即時通訊軟件等

（3）收集系統信息：

• 操作系統版本
• 用戶名
• IP地址

（4）竊取各種軟件的賬號和密碼，如FTP客戶端、VPN、RDP等

（5）截屏

（6）從互聯網下載文件

值得一提的是，類似於Azorult（卡巴斯基實驗室在超過25%的被攻擊用戶的計算機上都檢測到了Azorult）這樣的多功能信息竊取惡意軟件，幾乎可以獲取受感染計算機上的所有數據：

• 完整的系統信息，如已安裝的軟件、正在運行的進程列表、用戶名或計算機名、系統版本等；
• 完整的硬件信息，如CPU、顯示器、顯卡等；
• 幾乎所有主流瀏覽器中保存的密碼、支付卡數據、Cookie、瀏覽歷史記錄；
• 郵箱、FTP、即時通訊軟件客戶端的密碼；
• 即時通訊軟件安裝文件夾下的文件；
• Steam遊戲客戶端安裝文件夾下的文件；
• 超過30種加密貨幣錢包安裝文件夾下的文件；
• 截屏；
• 特定類型的文件，如「USERPROFILEDesktop」文件夾下（即桌面上）的所有具有特定擴展名（.txt、.jpg、.png、.zip、.rar、.doc）的文件。

為什麼要專門收集位於桌面上的文件？這是因為大多數用戶通常都會把常用的文件保存在桌面上。比如，常用的密碼一般都會被保存在.txt文件里，而像.doc這樣的Office文檔則很可能包含有用戶公司的機密信息。

圖3. Azorult的攻擊分佈圖

惡意軟件如何從瀏覽器竊取數據？

在竊取瀏覽器數據（密碼、支付卡信息、自動填充數據）方面，幾乎所有的信息竊取惡意軟件都採用了大致相同的方式。

Google Chrome和基於Chromium的瀏覽器

眾所周知，在基於Chromium的瀏覽器中，保存的密碼都受到了DPAPI（Data Protection API）的保護，這是通過SQLite數據庫來實現的。只有創建這些密碼的管理員用戶才能夠從SQLite數據庫中提取它們，而且只能在加密它們的計算機上提取。

然而，對於已經成功侵入計算機的信息竊取惡意軟件來說，這並不能成為阻礙，因為它們本身就是以管理員用戶權限運行的。按照如下步驟執行，它們就能夠提取瀏覽器中保存的數據：

• 提取數據庫文件-對於基於Chromium的瀏覽器而言，用來保存用戶數據的文件的路徑是固定不變的，很容易找到；
• 讀取加密數據-如上所述，基於Chromium的瀏覽器使用的是SQLite數據庫，使用一些標準工具就能從中讀取數據；
• 解密數據-通過調用CryptUnprotectData函數，就能夠直接在受感染計算機刪直接完成解密。

圖4. 信息竊取木馬Arkei的源代碼片段（用於解密從基於Chromium的瀏覽器中竊取的數據）

就這樣，無論是保存的密碼，還是支付卡信息或瀏覽歷史記錄，都能夠被竊取並隨時發送到由黑客們控制的服務器上。

Firefox和基於Firefox的瀏覽器

基於Firefox的瀏覽器的在數據加密上略有一些不同，但對信息竊取惡意軟件來說，獲取它們的過程同樣簡單。

在Firefox瀏覽器中，加密使用了Network Security Services（一組Mozilla用來開發安全軟件的庫）和nss3.dll庫。

與基於Chromium的瀏覽器一樣，信息竊取惡意軟件從瀏覽器中提取保存的數據的過程如下：

• 提取數據庫文件-基於Firefox的瀏覽器會生成隨機的用戶配置文件名，使得保存用戶數據的文件無法事先預知。但通過匹配特定的文件名，信息竊取惡意軟件仍然能夠找到這些文件的位置。此外，即使用戶卸載了瀏覽器，這些文件也不會被刪除。
• 讀取加密數據-加密數據分為兩種，一種是和基於Chromium的瀏覽器一樣保存為SQLite格式，另一種則保存為JSON文件格式。
• 解密數據-想要解密數據，信息竊取惡意軟件就需要加載nss3.dll庫，然後調用多個函數來對數據進行解密。

圖5.信息竊取木馬Orion的源代碼片段（用於解密從基於Firefox的瀏覽器中竊取的數據）

IE和 Edge瀏覽器

在IE 4.X到6.0版本中，用戶的密碼和自動填充數據都保存在所謂的Protected Storage受保護存儲區域中。為了提取這些數據，信息竊取惡意軟件需要加載pstorec.dll庫。

IE 7和8版本使用了略有不同的方法：使用的存儲區域被稱為「Credential Store」，並且使用進行了SALT加密。不過，由於SALT值是固定的，導致信息竊取惡意軟件能夠通過調用相同的CryptUnprotectData函數來獲取所有保存的密碼。

雖然IE 9和Edge使用了一種被稱為「Vault」的新型存儲方式，但信息竊取惡意軟件仍能夠通過vaultcli.dll並調用幾個函數來提取用戶數據。

安全建議

在日常生活和工作中，我們常常會將一些重要的數據保存在瀏覽器中（比如，允許賬號和密碼自動填充），主要就是為了圖個方便。

卡巴斯基實驗室的這份報告則給我們提了個醒，目前市面上的大多數瀏覽器所使用的數據保護方法，對於信息竊取惡意軟件來說似乎並沒有多少用處。

因此，建議大家還是盡量不要將重要的數據保存在瀏覽器中的好。如果已經養成了這個習慣，那麼一定不要下載並運行可疑文件，也不要點擊可疑電子郵件中的不明鏈接。