使用Windows操作系統(tǒng)的SMB文件共享協(xié)議，竊取身份憑證的攻擊技術(shù)，已經(jīng)存在了很長(zhǎng)時(shí)間，這是一個(gè)不可避免的問(wèn)題。盡管該技術(shù)具有多種實(shí)現(xiàn)方式，但大多數(shù)都位于本地網(wǎng)絡(luò)內(nèi)部。在過(guò)去的十年中，沒(méi)有人公開(kāi)展示過(guò)針對(duì)瀏覽器(IE和Edge除外)的SMB身份驗(yàn)證攻擊，但是在本文中，我們將介紹Windows憑據(jù)竊取攻擊，該技術(shù)將影響最受歡迎的網(wǎng)絡(luò)瀏覽器-ChromeChrome( 可選配置)，以及所有支持瀏覽器的Windows版本。

問(wèn)題描述在各種配置下，Chrome瀏覽器會(huì)自動(dòng)下載它認(rèn)為安全的文件，而且不會(huì)提示用戶(hù)選擇文件的存儲(chǔ)位置(使用的是順序地址)。從安全的角度來(lái)看，這個(gè)功能是存在問(wèn)題的，但如果惡意文件想要運(yùn)行的話(huà)，還是需要用戶(hù)手動(dòng)單擊“打開(kāi)/運(yùn)行”按鈕才可以。不過(guò)，如果下載下來(lái)的文件不需要用戶(hù)交互就能夠執(zhí)行惡意操作的話(huà)，那又該怎么辦呢？真的有哪一類(lèi)文件可以做到這一點(diǎn)嗎？

Windows資源管理器Shell命令文件(.scf文件)是一種鮮為人知的文件類(lèi)型，可以返回到Windows98。可能只有Windows98/Me/NT/2000/XP用戶(hù)可能遇到過(guò)這種文件，當(dāng)時(shí)它主要它本質(zhì)上是一個(gè)文本文件，其中有一部分可以確定一段需要運(yùn)行的命令(僅在運(yùn)行資源管理器和切換桌面)和一個(gè)圖標(biāo)文件的位置。下面是一個(gè)SCF文件的內(nèi)容示例：

通過(guò)Windows快捷方式LNK文件的生成，當(dāng)文件顯示在資源管理器中時(shí)，圖標(biāo)地址會(huì)進(jìn)行自動(dòng)解析。將圖標(biāo)地址指向一臺(tái)遠(yuǎn)程SMB服務(wù)器已經(jīng)是可以的攻擊向量了，這種技術(shù)利用了Windows但是從攻擊的角度來(lái)看，LNK和SCF之間的區(qū)別在哪里呢?自從震網(wǎng)病毒出現(xiàn)之后，Chrome會(huì)強(qiáng)制將LNK文件的后綴名替換。下載，但SCF文件并沒(méi)有得到相同的占用。因此，我們可以利用一個(gè)僅包含兩行代碼的SCF文件來(lái)欺騙Windows系統(tǒng)：

文件下載完成之后，當(dāng)用戶(hù)在Windows資源管理器中打開(kāi)下載目錄的那一瞬間，請(qǐng)求就會(huì)被觸發(fā)，隨后文件便會(huì)被刪除。整個(gè)過(guò)程根本不需要用戶(hù)點(diǎn)擊或打開(kāi)下載文件，因?yàn)閃indows資源管理器會(huì)自動(dòng)嘗試獲取“ icon”(圖標(biāo))內(nèi)容。

攻擊者所設(shè)置的遠(yuǎn)程SMB服務(wù)器隨時(shí)準(zhǔn)備著抓住目標(biāo)用戶(hù)的用戶(hù)名以及NTLMv2密碼哈希，他們可以將這些數(shù)據(jù)用作脫機(jī)破解或偽造用戶(hù)身份并訪(fǎng)問(wèn)在線(xiàn)服務(wù)(SMB轉(zhuǎn)發(fā)攻擊)。捕獲到的信息大致如下：

上面這個(gè)例子泄漏了目標(biāo)用戶(hù)的用戶(hù)名，所在域(域)，以及NTLMv2密碼哈希。

需要注意的是，無(wú)論您的系統(tǒng)設(shè)置如何，SCF文件在Windows資源管理器中都不會(huì)顯示其后綴名(.scf)。因此，類(lèi)似picture.jpg.scf這樣的文件名在Windows資源管理器中顯示，就是picture.jpg。因此，這也可以利用SCF文件的攻擊活動(dòng)更加難以被發(fā)現(xiàn)了。

　　影響

　　密碼泄漏

對(duì)于企業(yè)和政府用戶(hù)而言，密碼泄漏將有可能導(dǎo)致內(nèi)部網(wǎng)提權(quán)和數(shù)據(jù)泄漏等風(fēng)險(xiǎn)出現(xiàn)。對(duì)于使用了微軟賬號(hào)(MSA)而非本地賬號(hào)的Windows8/10的用戶(hù)來(lái)說(shuō)，密碼泄漏將會(huì)影響用戶(hù)所有的微軟服務(wù)，例如OneDrive，Outlook.com，Office365，Office Online，Skype，以及Xbox Live等。同時(shí)，密碼重用等問(wèn)題將會(huì)導(dǎo)致更多的賬號(hào)發(fā)生泄漏。

從前，一張Nvidia GTX 1080的計(jì)算能力約為1600MH/s，即每秒可計(jì)算16億哈希值。對(duì)于一個(gè)長(zhǎng)度為8個(gè)字符的密碼，一臺(tái)配備了四塊GTX1080的密碼破解機(jī)可以在不到一天時(shí)間里遍歷整個(gè)密碼空間(包括大小寫(xiě)字母+常用特殊字符(!@#$% &))。

　　SMB中繼攻擊

像Microsoft Exchange(或Outlook)這種允許遠(yuǎn)程訪(fǎng)問(wèn)的以及使用NTLM作為身份驗(yàn)證方法的服務(wù)將有可能受到SMB中繼攻擊，攻擊者將能夠偽裝成受害者來(lái)訪(fǎng)問(wèn)用戶(hù)的數(shù)據(jù)，而且還沒(méi)有使用破解用戶(hù)喬納森·布魯薩德(Jonathan Brossard)在BlackHat黑客大會(huì)上已經(jīng)向全世界演示過(guò)這種方法了，感興趣的同學(xué)可以觀看這個(gè)演示視頻【傳送門(mén)】。

在某些特殊情況下，攻擊者甚至還可以在中繼攻擊的幫助下，利用竊取來(lái)的證書(shū)入侵目標(biāo)網(wǎng)絡(luò)，并獲取內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)。

針對(duì)SCF的反病毒產(chǎn)品

當(dāng)瀏覽器無(wú)法提示這方面的安全風(fēng)險(xiǎn)時(shí)，我們只能指望其他的安全解決方案能夠保護(hù)我們的安全了。于是我們對(duì)當(dāng)前領(lǐng)先的安全解決方案進(jìn)行了測(cè)試，從而使它們能夠識(shí)別惡意下載文件。但不幸的是，所有測(cè)試產(chǎn)品都無(wú)法將這類(lèi)文件標(biāo)記為可疑對(duì)象。不過(guò)，想要識(shí)別出可疑的SCF文件其實(shí)也并不難，我們只要檢查文件中的IconFile參數(shù)所指向的地址就可以了，所以我們希望廠(chǎng)商在將來(lái)能夠增加這種檢測(cè)機(jī)制。

　　反射文件下載(RFD)攻擊

注：這種攻擊技術(shù)最初是由OrenHafif發(fā)現(xiàn)的，研究的同學(xué)可以參考介紹文章【參考資料】。

由于SCF格式比較簡(jiǎn)單，而我們的攻擊只需要兩行代碼，而且可定制程度較高，因此它也非常適用于RFD攻擊。

RFD通常針對(duì)的是RESTfulAPI代理，因?yàn)樗鼈兺ǔＴ试S我們?cè)赨RL路徑中設(shè)置文件的擴(kuò)展名。Chrome不會(huì)直接下載API響應(yīng)內(nèi)容類(lèi)型，因此我們需要在“ href =”屬性中添加下載鏈接來(lái)強(qiáng)制瀏覽器完成下載。

我們以WorldBankAPI為例進(jìn)行演示：

由于字符“%0B”無(wú)法打印出來(lái)，因此Chrome將會(huì)自動(dòng)將響應(yīng)內(nèi)容下載并保存為iwantyourhash.scf文件。當(dāng)保存此文件的下載目錄被打開(kāi)之后，Windows將嘗試與遠(yuǎn)程SMB服務(wù)器進(jìn)行身份驗(yàn)證，并暴露目標(biāo)用戶(hù)的認(rèn)證哈希。

緩解方案

為了防止這種通過(guò)SCF文件所進(jìn)行的NTLMv2憑證竊取攻擊，我們可以通過(guò)以下方法替換Chrome瀏覽器的自動(dòng)下載功能：設(shè)置->顯示高級(jí)設(shè)置->替換“在下載之前查詢(xún)保存文件路徑”選項(xiàng)。

除此之外，我們也希望谷歌能夠在將來(lái)的Chrome瀏覽器版本中解決這個(gè)問(wèn)題。以上就是關(guān)于瀏覽器如何竊取Windows密碼的全部?jī)?nèi)容介紹，想了解更多關(guān)于信息安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。