案例内容
【案情简介】
某市公安局接市局网安支队下发线索,嫌疑人涉嫌通过XSS黑客手段侵入资金盘或者虚拟币等网站,上传木马文件获取用户登录的cookie,然后利用获取的cookie免密登录网站进行提现,涉嫌非法控制计算机信息系统等罪名。
【鉴定过程】
本鉴定依据《数字化设备证据数据发现提取固定方法》GA/T 756-2008、《电子物证数据搜索检验规程》GB/T 29362-2012、《软件功能鉴定技术规范》SF/Z JD0403004-2018。 本鉴定使用数据分析工作站、FastStone Capture、Notepad++、VMware Workstation等软件进行检验。 送检文本文件名为“代码.txt”,逻辑大小为35937字节,SHA-1值为42CAA4DA5252A697E99FCF6BEAF2210BCE0209F2,SHA-256值为1E504D4AF32DE3132B7B240DFB8217470EADC730D2D5B9E6634F8BDA9497D950。 1.开启火绒安全软件,对数据分析工作站进行快速查杀,未发现风险项目。 2.对送检文件代码进行分析。 2.1送检“代码.txt”文件实质为js脚本程序,对送检代码进行格式化处理,方便后续分析,如图1、图2所示。 图 SEQ 图 * ARABIC 1 “代码.txt”文件部分内容 图 SEQ 图 * ARABIC 2 格式化后部分代码内容 2.2代码引用了github网站上的开源项目,项目地址为“https://github.com/niklasvh/html2canvas”,该项目功能为截取当前网页内容,如图3所示。 图 SEQ 图 * ARABIC 3 项目介绍的部分内容 2.3经分析,该代码会对当前网页进行截图,转为base64编码并获取用户的cookie、网页源码、网页标题等数据后提交到“https://www.XXXXX.com/submit”接口地址,如图4至图6所示。 图 SEQ 图 * ARABIC 4 获取当前网页源码和截取当前网页函数代码 图 SEQ 图 * ARABIC 5 获取当前网页cookie值和其他数据部分代码 图 SEQ 图 * ARABIC 6 将获取到的数据进行发送“contact_mothership”函数代码 3.对送检“代码.txt”代码的功能进行证据固定 3.1根据上述分析,送检代码文件实质为js脚本程序,将送检代码文件重命名为“1.js”并将其引用到本中心在虚拟机搭建的测试网站中,启动网站,IP地址为“172.25.17.115:10120”,如图7至图9所示。 图 SEQ 图 * ARABIC 7 本中心的测试网站目录结构 图 SEQ 图 * ARABIC 8 对送检代码进行引用 图 SEQ 图 * ARABIC 9 本中心的测试网站登录页面 3.2在浏览器地址栏中输入“http://172.25.17.115:10120/”,进入登录页面,并输入用户名和密码进行登录,按F12打开谷歌开发者工具,对网络流量进行监控,如图10、图11所示。 图 SEQ 图 * ARABIC 10 访问“172.25.17.115:10120”登录页面 图 SEQ 图 * ARABIC 11 打开谷歌开发者工具对网络流量进行监控 3.3点击登录后,在网络流量检出“https://www.XXXXX.com/submit”接口的请求,其中请求的数据中包含用户登录的cookie等,如图12至图14所示。 图 12 成功登录界面 图 13 “https://www.XXXX.com/submit”接口请求 图 14 “https://www.xssye.com/submit”发送的部分数据 3.3在发送的数据中检出图片的base64编码数据,数据的key为“screenshotpic”,将该数据转换为图片后为当前网页的截图,如图15、图16所示。 图 15 “screenshotpic”值的部分内容 图 16 转换后的图片内容 4.对Cookie功能进行演示 4.1打开网址“192.168.19.231:9001”,该网站为本中心测试登录的网站,仅有一个登录框,用户名为“admin”,密码为“admin”,如图17所示。 图 17 本中心测试登录网站 4.2输入用户名和密码成功登录网站,并将已登录状态的cookie值保存,如图18、图19所示。 图 18 成功登录本中心测试网站 图 19 成功登录后的网站cookie 4.3清空chrome浏览器保存的cookie,刷新网站显示为未登录状态,将测试网站的cookie设置为保存的值,则显示为登录状态,如图20至图23所示。 图 20 清除浏览器保存的cookie 图 21 刷新测试网站显示为未登录状态 图 22 将cookie添加到浏览器中 图 23 刷新网站显示为已登录状态
【分析说明】
Cookie是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地浏览器上的数据(通常经过加密),由用户浏览器暂时或永久保存的信息。网站通过获取浏览器保存的Cookie文件能够读取用户的登录信息还原用户的登录状态,但同理第三方亦可能通过获取未加密的Cookie文件在无需得知用户账号密码的情况下登录网站。 本案中嫌疑人通过黑客手段上传送检的Javascript脚本文件到网站,当用户(受害人)登录网站时该js脚本文件被加载执行后会获取用户登录的cookie等数据提交到“https://www.XXXX.com/submit”接口地址,嫌疑人再利用获取的cookie实现异地免密登录,进而实施犯罪。
【鉴定意见】
送检文本中的Javascript代码被引用后具有对用户当前访问的网页进行截图,获取用户的cookie、网页源码、网页标题等数据后提交到“https://www.XXXXX.com/submit”接口地址的功能,其中的截图功能是通过引用github网站上的开源项目中的代码实现,项目地址为“https://github.com/niklasvh/html2canvas”。
