在調(diào)查某公司最近發(fā)生的內(nèi)部數(shù)據(jù)泄露事件時，AhnLab ASEC?分析小組確認(rèn)用于訪問公司網(wǎng)絡(luò)的 VPN 賬戶是從某位在家工作的員工的電腦上泄露的。發(fā)生損失的公司為在家工作的員工提供 VPN 服務(wù)，讓他們訪問公司的內(nèi)部網(wǎng)絡(luò)，員工用提供的筆記本電腦或他們的 PC 通過 VPN 連接到公司內(nèi)部網(wǎng)絡(luò)。

目標(biāo)員工利用網(wǎng)絡(luò)瀏覽器提供的密碼管理功能，在網(wǎng)絡(luò)瀏覽器上保存并使用 VPN 網(wǎng)站的賬號和密碼。在這樣做的時候，個人電腦被感染了針對賬戶憑證的惡意軟件，泄露了各個網(wǎng)站的賬戶和密碼，其中也包括公司的 VPN 賬戶。三個月后，被泄露的 VPN 賬戶被用來入侵該公司的內(nèi)部網(wǎng)絡(luò)。

為了方便用戶，網(wǎng)絡(luò)瀏覽器會儲存用戶訪問網(wǎng)站時輸入的賬戶和密碼，并提供再次訪問時自動輸入的功能。在基于 Chromium 的網(wǎng)絡(luò)瀏覽器（Edge、Chrome）上，密碼管理功能是默認(rèn)啟用的。登錄時輸入的信息會通過密碼管理功能保存到登錄數(shù)據(jù)文件中。

網(wǎng)絡(luò)瀏覽器文件路徑

Chrome?C:\Users\<User name>\AppData\Local\Google\Chrome\User Data\Default\Login Data

Edge?C:\Users\<User name>\AppData\Local\MicrosoftEdge\User\Default\Login Data

Opera?C:\Users\<User name>\AppData\Roaming\Opera Software\Opera Stable\Login Data

Whale?C:\Users\<User name>\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data

登錄數(shù)據(jù)是一個SQLite數(shù)據(jù)庫文件，賬戶和密碼信息被保存在logins表中。除了賬戶和密碼之外，保存的時間、登錄網(wǎng)站的URL以及訪問次數(shù)也被保存在logins表中。如果用戶拒絕保存某個網(wǎng)站的賬號和密碼信息，為了記住這一點(diǎn)，blacklisted_by_user 字段將被設(shè)置為1，用戶名_value和密碼_value字段將沒有賬號和密碼，只有 origin_url 信息被保存到 logins 表中。

發(fā)現(xiàn)目標(biāo)員工的電腦是全家人在家里使用的，沒有得到安全管理。它很早以前就已經(jīng)感染了各種惡意軟件，雖然安裝了另一家公司的反惡意軟件程序，但它未能正確檢測和修復(fù)。

在被感染的惡意軟件中，有一個叫 Redline Stealer 的惡意軟件。Redline Stealer 是一種收集保存在網(wǎng)絡(luò)瀏覽器中的賬戶憑證的信息竊取者，它于 2020 年 3 月首次出現(xiàn)在俄羅斯暗網(wǎng)上。一個名為 REDGlade 的用戶上傳了一個宣傳帖子，解釋了 Redline Stealer 包含的各種功能，并以 150-200 美元的價格出售該黑客工具。

由于 Redline Stealer 在暗網(wǎng)上被不加區(qū)分地賣給了不特定的人，因此很難將惡意軟件的開發(fā)者與攻擊者直接聯(lián)系起來。除了惡意軟件，使用Redline Stealer 泄露的憑證也在暗網(wǎng)中被出售。

在這個案例中，Redline Stealer 被偽裝成 Soundshifter 的破解程序在網(wǎng)上傳播，Soundshifter 是 Waves 公司的一個音調(diào)轉(zhuǎn)換程序。用戶輸入帶有破解、免費(fèi)等字樣的軟件名稱來搜索文件，下載并運(yùn)行下載的文件，從而導(dǎo)致了惡意文件的感染。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/