Google 帐户。此方法允许您通过重新生成 cookie 来维持有效的会话,即使在更改 IP 地址或密码后也是如此。 ,一种新的黑客方法允许攻击者利用 OAuth 2.0 授权协议功能来危害 GoogleCloudSEK CloudSEK的报告
CloudSEK 研究人员团队发现了使用名为“MultiLogin”的未记录的 Google Oauth 接入点进行的攻击。 “多重登录”是一种内部机制,旨在跨各种服务同步 Google 帐户,确保浏览器中的帐户状态与 Google 的身份验证 cookie 相匹配。
表示愿意合作,这加速了负责重新生成cookie的接入点的发现。 利用
Infostealer 恶意软件中。 Lumma 的主要功能包括会话持久性和 cookie 生成。该程序旨在通过攻击登录 Chrome 配置文件的 WebData 中的 token_service 表来提取必要的秘密、令牌和帐户 ID。
“即使帐户密码发生更改,会话仍然有效,这是绕过典型安全措施的独特优势,” – 报告引用了该漏洞利用程序的作者 PRISMA 的话。
研究人员注意到各种网络犯罪团体之间的漏洞利用迅速整合的趋势令人担忧。利用 Google 未记录的 OAuth2 MultiLogin 访问点是复杂性的一个典型例子,因为该方法依赖于对 Google 帐户和 ID 管理 (GAIA) 令牌的微妙操纵。该恶意软件使用加密层隐藏漏洞利用机制。
这种利用技术展示了对 Google 内部身份验证机制的高度复杂性和理解。通过操纵“令牌:GAIA ID”对,Lumma 可以不断为 Google 服务重新生成 cookie。特别令人不安的是,即使用户的密码被重置,这种利用仍然有效,从而允许对用户帐户和数据的持续且可能无法检测的利用。” CloudSEK 团队总结道。
参考:
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
原创文章,作者:batsom,如若转载,请注明出处:https://www.cncso.com/google-accounts-malwares-exploiting-undocumented-oauth2-session-hijacking.html
