[[443206]]

在調(diào)查某公司最近發(fā)生的內(nèi)部數(shù)據(jù)泄露事件時(shí)，AhnLab ASEC分析小組確認(rèn)用于訪問(wèn)公司網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)賬戶是從某位在家工作的員工的電腦上泄露的。發(fā)生損失的公司為在家工作的員工提供虛擬專用網(wǎng)絡(luò)服務(wù)，讓他們?cè)L問(wèn)公司的內(nèi)部網(wǎng)絡(luò)，員工用提供的筆記本電腦或他們的 PC 通過(guò)虛擬專用網(wǎng)絡(luò)連接到公司內(nèi)部網(wǎng)絡(luò)。

目標(biāo)員工利用網(wǎng)絡(luò)瀏覽器提供的密碼管理功能，在網(wǎng)絡(luò)瀏覽器上保存并使用虛擬專用網(wǎng)絡(luò)網(wǎng)站的賬號(hào)和密碼。在這樣做的時(shí)候，個(gè)人電腦被感染了針對(duì)賬戶憑證的惡意軟件，泄露了各個(gè)網(wǎng)站的賬戶和密碼，其中也包括公司的虛擬專用網(wǎng)絡(luò)賬戶。三個(gè)月后，被泄露的虛擬專用網(wǎng)絡(luò)賬戶被用來(lái)入侵該公司的內(nèi)部網(wǎng)絡(luò)。

為了方便用戶，網(wǎng)絡(luò)瀏覽器會(huì)儲(chǔ)存用戶訪問(wèn)網(wǎng)站時(shí)輸入的賬戶和密碼，并提供再次訪問(wèn)時(shí)自動(dòng)輸入的功能。在基于 Chromium 的網(wǎng)絡(luò)瀏覽器(Edge、Chrome)上，密碼管理功能是默認(rèn)啟用的。登錄時(shí)輸入的信息會(huì)通過(guò)密碼管理功能保存到登錄數(shù)據(jù)文件中。

網(wǎng)絡(luò)瀏覽器文件路徑：

• ChromeC:\Users\
• EdgeC:\Users\
• OperaC:\Users\
• WhaleC:\Users\

登錄數(shù)據(jù)是一個(gè)SQLite數(shù)據(jù)庫(kù)文件，賬戶和密碼信息被保存在logins表中。除了賬戶和密碼之外，保存的時(shí)間、登錄網(wǎng)站的URL以及訪問(wèn)次數(shù)也被保存在logins表中。如果用戶拒絕保存某個(gè)網(wǎng)站的賬號(hào)和密碼信息，為了記住這一點(diǎn)，blacklisted_by_user 字段將被設(shè)置為1，用戶名_value和密碼_value字段將沒(méi)有賬號(hào)和密碼，只有 origin_url 信息被保存到 logins 表中。

發(fā)現(xiàn)目標(biāo)員工的電腦是全家人在家里使用的，沒(méi)有得到安全管理。它很早以前就已經(jīng)感染了各種惡意軟件，雖然安裝了另一家公司的反惡意軟件程序，但它未能正確檢測(cè)和修復(fù)。

在被感染的惡意軟件中，有一個(gè)叫 Redline Stealer 的惡意軟件。Redline Stealer 是一種收集保存在網(wǎng)絡(luò)瀏覽器中的賬戶憑證的信息竊取者，它于 2020 年 3 月首次出現(xiàn)在俄羅斯暗網(wǎng)上。一個(gè)名為 REDGlade 的用戶上傳了一個(gè)宣傳帖子，解釋了 Redline Stealer 包含的各種功能，并以 150-200 美元的價(jià)格出售該黑客工具。

由于 Redline Stealer 在暗網(wǎng)上被不加區(qū)分地賣(mài)給了不特定的人，因此很難將惡意軟件的開(kāi)發(fā)者與攻擊者直接聯(lián)系起來(lái)。除了惡意軟件，使用Redline Stealer 泄露的憑證也在暗網(wǎng)中被出售。

在這個(gè)案例中，Redline Stealer 被偽裝成 Soundshifter 的破解程序在網(wǎng)上傳播，Soundshifter 是 Waves 公司的一個(gè)音調(diào)轉(zhuǎn)換程序。用戶輸入帶有破解、免費(fèi)等字樣的軟件名稱來(lái)搜索文件，下載并運(yùn)行下載的文件，從而導(dǎo)致了惡意文件的感染。