Cách hack Facebook, Gmail vượt qua xác thực 2 bước

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Cách hack Facebook, Gmail vượt qua xác thực 2 bước
Chào các bạn, đã bao giờ bạn thắc mắc hacker làm cách nào để hack tài khoản Facebook, Gmail hay bất kỳ tài khoản nào khác...ngay cả khi bạn bật tính năng bảo mật xác thực 2 bước.

1704785237738.png

Dưới đây là tóm tắt quá trình cách hacker đánh cắp tài khoản mình nghiên cứu dựa trên một mẫu mã độc thực tế:

mo-ta-cach-tan-cong.png

Cơ chế lưu thông tin tài khoản của trình duyệt?

Khi chúng ta đăng nhập bất kỳ một tài khoản nào trên trình duyệt. Lúc đó thông tin phiên đăng nhập sẽ được lưu trong file Cookies của trình duyệt, tiếp theo trình duyệt sẽ hỏi bạn có muốn lưu mật khẩu không. Nếu bạn chọn đồng ý, trình duyệt sẽ lưu thông tin mật khẩu vào file Login Data.

Trình duyệt Chrome phổ biến nhất, mình sẽ mô tả chi tiết về trình duyệt này, các trình duyệt khác như Firefox, Opera... cơ chế cũng tương tự.

Đường dẫn lưu Cookie: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Cookies
Đường dẫn lưu user/pass: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Login Data

Cookie và User/Pass được lưu trong 2 file ở trên, trước khi lưu trình duyệt đã mã hóa, tuy nhiên dữ liệu này hoàn toàn có thể giải mã để lấy được plaintex. Chrome phiên bản 80 về trước mình đã có bài giải mã lấy mật khẩu, các bạn có thể tham khảo tại đây. Các phiên bản Chrome 80 trở về sau bổ sung thêm mã hóa AES, các bạn có thể tìm hiểu cách giải mã trên stackoverflow và code trên github tại đây

Như vậy, khi hacker có được 2 thông tin plaintex cookies và user/pass hoàn toàn có thể dùng chúng để lấy cắp tài khoản của bạn. Hacker dùng cookies để đăng nhập tài khoản Facebook, Gmail... để không cần xác thực 2 bước. Sau đó hacker vào tài khoản thực hiện đổi số điện thoại, email khôi phục (lúc đổi có yêu cầu nhập mật khẩu) và đăng xuất ra khỏi thiết bị của bạn, khi đó tài khoản của bạn đã bị mất vĩnh viễn.

Chi tiết về mã độc?

- Thông tin cơ bản của mã độc: Code bằng C#, bị pack, obfuscate

upload_2021-6-10_11-36-12.png

- Sau mấy ngày chiến đấu mình đã unpack được code đẹp của mã độc, chúng ta có thể thấy C&C của mã độc: https://iphoneweb.xyz/

upload_2021-6-10_13-36-29.png

- Đây là đoạn code mã độc đọc và giải mã cookie, login data của trình duyệt

upload_2021-6-10_13-42-2.png

- Sau khi lấy được mã độc sẽ đóng gói kết quả và gửi về C&C

upload_2021-6-10_13-43-26.png

- Trên là những đoạn code chứng minh mã độc ăn cắp tài khoản của chrome, ngoài ra mã độc ăn cắp trên các trình duyệt khác như Firefox, Opera và rất nhiều hành vi động hại khác.

Tổng kết mã độc này có những hành vi độc hại sau:
  • Ăn cắp cookies, user/pass
  • Ăn cắp ví tiền ảo
  • Ăn cắp tài khoản Outlook
  • Lấy thông tin máy tính
  • Chụp ảnh màn hình
  • Tải và thực thi mã độc khác
Mình sẽ nghiên cứu thêm và tiếp tục bài viết về con này ở phần sau nhé các bạn!!!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: HuyTran
Cảm ơn mod, bài viết rất có ích.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bài viết chất lượng quá, thank mod đã chia sẻ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: WhiteHat Team
Comment
Xin hỏi mod @HustReMw về việc sử dụng cookies đăng nhập gmail!
Có thể sử dụng tool/extension nào có thể export/import cookies của gmail trên trình duyệt?
Hoặc khi đã có trong tay cookies của gmail rồi, thì dùng tool nào đê đăng nhập???
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Xin hỏi mod @HustReMw về việc sử dụng cookies đăng nhập gmail!
Có thể sử dụng tool/extension nào có thể export/import cookies của gmail trên trình duyệt?
Hoặc khi đã có trong tay cookies của gmail rồi, thì dùng tool nào đê đăng nhập???
Có thể sử dụng một số extension như: Edit this cookie, j2team cookie để import, export cookie
Có cookie rồi có thể dùng một số tool trên để đăng nhập nhé bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: lacda301
Comment
Có thể sử dụng một số extension như: Edit this cookie, j2team cookie để import, export cookie
Có cookie rồi có thể dùng một số tool trên để đăng nhập nhé bạn
Mình đã test 2 extension này rồi. Không được! Đã tự export, sau đó import ngay đều không được. Nên mới hỏi xem có tool nào khác không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Gmail mình import lúc được lúc không, hầu như chỉ import được drive thôi. Có vẻ vấn đề nằm ở chỗ: lúc export cookie thì nó ở trang gmail.com, nhưng khi import thì lại ở trang account.google..... cookie drive khác với cookie gmail
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
tks mod :3, như vậy tính ra dùng cr@ck là con dao 2 lưỡi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vì vậy bất kì thao tác nào trên account như thay đổi thông tin sđt, username, password, rút tiền. chuyển tiền đều cần thêm 1 bước xác thực OTP hoặc 2FA để giảm thiểu những rủi ro của cách tấn công này
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
có cách nào bằng kali linux không ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
2fa xác thực 2 bước
Bên trên