Cách hack Facebook, Gmail vượt qua xác thực 2 bước

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 10/06/21, 01:06 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 507
    Đã được thích: 236
    Điểm thành tích:
    43
    Chào các bạn, đã bao giờ bạn thắc mắc hacker làm cách nào để hack tài khoản Facebook, Gmail hay bất kỳ tài khoản nào khác...ngay cả khi bạn bật tính năng bảo mật xác thực 2 bước. Dưới đây là tóm tắt quá trình cách hacker đánh cắp tài khoản mình nghiên cứu dựa trên một mẫu mã độc thực tế
    mo-ta-cach-tan-cong.png
    Cơ chế lưu thông tin tài khoản của trình duyệt?
    Khi chúng ta đăng nhập bất kỳ một tài khoản nào trên trình duyệt. Lúc đó thông tin phiên đăng nhập sẽ được lưu trong file Cookies của trình duyệt, tiếp theo trình duyệt sẽ hỏi bạn có muốn lưu mật khẩu không. Nếu bạn chọn đồng ý, trình duyệt sẽ lưu thông tin mật khẩu vào file Login Data

    Trình duyệt Chrome phổ biến nhất, mình sẽ mô tả chi tiết về trình duyệt này, các trình duyệt khác như Firefox, Opera... cơ chế cũng tương tự.

    Đường dẫn lưu Cookie: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Cookies
    Đường dẫn lưu user/pass: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Login Data

    Cookie và User/Pass được lưu trong 2 file ở trên, trước khi lưu trình duyệt đã mã hóa, tuy nhiên dữ liệu này hoàn toàn có thể giải mã để lấy được plaintex. Chrome phiên bản 80 về trước mình đã có bài giải mã lấy mật khẩu, các bạn có thể tham khảo tại đây. Các phiên bản Chrome 80 trở về sau bổ sung thêm mã hóa AES, các bạn có thể tìm hiểu cách giải mã trên stackoverflow và code trên github tại đây

    Như vậy, khi hacker có được 2 thông tin plaintex cookies và user/pass hoàn toàn có thể dùng chúng để lấy cắp tài khoản của bạn. Hacker dùng cookies để đăng nhập tài khoản Facebook, Gmail... để không cần xác thực 2 bước. Sau đó hacker vào tài khoản thực hiện đổi số điện thoại, email khôi phục (lúc đổi có yêu cầu nhập mật khẩu) và đăng xuất ra khỏi thiết bị của bạn, khi đó tài khoản của bạn đã bị mất vĩnh viễn.

    Chi tiết về mã độc?
    - Thông tin cơ bản của mã độc: Code bằng C#, bị pack, obfuscate
    upload_2021-6-10_11-36-12.png

    - Sau mấy ngày chiến đấu mình đã unpack được code đẹp của mã độc, chúng ta có thể thấy C&C của mã độc: https://iphoneweb.xyz/
    upload_2021-6-10_13-36-29.png

    - Đây là đoạn code mã độc đọc và giải mã cookie, login data của trình duyệt
    upload_2021-6-10_13-42-2.png

    - Sau khi lấy được mã độc sẽ đóng gói kết quả và gửi về C&C
    upload_2021-6-10_13-43-26.png

    - Trên là những đoạn code chứng minh mã độc ăn cắp tài khoản của chrome, ngoài ra mã độc ăn cắp trên các trình duyệt khác như Firefox, Opera và rất nhiều hành vi động hại khác.

    => Tổng kết mã độc này có những hành vi độc hại sau
    • Ăn cắp cookies, user/pass
    • Ăn cắp ví tiền ảo
    • Ăn cắp tài khoản Outlook
    • Lấy thông tin máy tính
    • Chụp ảnh màn hình
    • Tải và thực thi mã độc khác
    Mình sẽ nghiên cứu thêm và tiếp tục bài viết về con này ở phần sau nhé các bạn!!!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    TKKG, ToanDV and dinhlongbk like this.
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 31
    Đã được thích: 17
    Điểm thành tích:
    8
    Cảm ơn mod, bài viết rất có ích.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. dinhlongbk

    dinhlongbk New Member

    Tham gia: 31/08/20, 02:08 PM
    Bài viết: 2
    Đã được thích: 1
    Điểm thành tích:
    3
    Bài viết chất lượng quá, thank mod đã chia sẻ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat Team thích bài này.
  4. lacda301

    lacda301 New Member

    Tham gia: 26/06/17, 11:06 AM
    Bài viết: 4
    Đã được thích: 1
    Điểm thành tích:
    3
    Xin hỏi mod @HustReMw về việc sử dụng cookies đăng nhập gmail!
    Có thể sử dụng tool/extension nào có thể export/import cookies của gmail trên trình duyệt?
    Hoặc khi đã có trong tay cookies của gmail rồi, thì dùng tool nào đê đăng nhập???
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 507
    Đã được thích: 236
    Điểm thành tích:
    43
    Có thể sử dụng một số extension như: Edit this cookie, j2team cookie để import, export cookie
    Có cookie rồi có thể dùng một số tool trên để đăng nhập nhé bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    lacda301 thích bài này.
  6. lacda301

    lacda301 New Member

    Tham gia: 26/06/17, 11:06 AM
    Bài viết: 4
    Đã được thích: 1
    Điểm thành tích:
    3
    Mình đã test 2 extension này rồi. Không được! Đã tự export, sau đó import ngay đều không được. Nên mới hỏi xem có tool nào khác không?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. viethoang1581998

    viethoang1581998 W-------

    Tham gia: 26/03/15, 03:03 PM
    Bài viết: 9
    Đã được thích: 0
    Điểm thành tích:
    6
    Gmail mình import lúc được lúc không, hầu như chỉ import được drive thôi. Có vẻ vấn đề nằm ở chỗ: lúc export cookie thì nó ở trang gmail.com, nhưng khi import thì lại ở trang account.google..... cookie drive khác với cookie gmail
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. yang kao

    yang kao New Member

    Tham gia: 21/04/20, 04:04 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    tks mod :3, như vậy tính ra dùng cr@ck là con dao 2 lưỡi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 392
    Đã được thích: 294
    Điểm thành tích:
    63
    Vì vậy bất kì thao tác nào trên account như thay đổi thông tin sđt, username, password, rút tiền. chuyển tiền đều cần thêm 1 bước xác thực OTP hoặc 2FA để giảm thiểu những rủi ro của cách tấn công này
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan