Discord是一种为游戏社区设计的VoIP免费服务,网络攻击者对Discord聊天服务器进行滥用,从而寄存各种恶意软件。远程访问木马(RAT)是在该应用程序上发现的最常见恶意样本,其中包括NanoCore (Trojan.Nancrat)、njRAT (Backdoor.Ratenjay)和SpyRat (W32.Spyrat)等。
[click_to_tweet:1]
网络攻击者如何利用Discord?
Discord属于免费服务,不但简单新颖还支持多种平台,因此自2015年3月发布以来,该应用程序广泛受到了游戏玩家们的喜爱。截止到2016年7月,其用户已超出1100万人。
任何Discord用户都可以在十秒钟内创建群或服务器。Discord上的大多数群是玩家团体(团队、工会或家族),这些团体使用VoIP服务,以通过聊天和语音功能交流游戏的相关事宜。
而且,Discord还出现了其他一些将目标定位更多观众的团体。例如,IT安全研究人员在Discord上创建服务器。在一些情况中,用户会设置一个永不过期的团队邀请链接,并在第三方网站上对其团队以宣传。通常情况下,用户都会宣传其团队主要是为了分享知识和交流特殊话题。一些团队的会员数量可高达数千名,而这些团队大部分与游戏有关,其他那些团队则与科技或动漫相关。
然而,黑客团伙也已创建了Discord服务器,并积极要求人们加入。甚至连一些见不得光的团伙也创建了Discord服务器,将此作为黑市以出售恶意软件或被盗数据。
网络攻击者如何在Discord上传播恶意软件?
Discord用户利用该应用的聊天功能可发布相关信息、链接、嵌入图片和视频,也可上传附件。大多数游戏玩家团队和公会也会使用一些聊天频道寄存文档。
聊天应用程序允许成员们上传大多数类型的文件,因此网络攻击者可以创建一个服务器并在聊天应用程序上发布或上传恶意附件,随后在第二阶段攻击中将该服务器作为下载站点使用。其他网络攻击者并没有创建自己的服务器,而是在受邀请的服务器上手动发布恶意软件,从而诱惑其他不知情用户打开其上传的恶意软件。
除了臭名昭著且容易获取的远程访问木马(如NanoCore、njRAT和SpyRat)外,我们在Discord上发现的文件中还有各种信息盗取器、木马恶意软件样本和下载器。上述文件可能已成为路过式下载策略或社会工程学活动的一部分。
图. 在Discord聊天服务器上发现的一个NanoCore样本。
我们发现NanoCore是Discord聊天服务器上寄存的最为普遍的恶意软件。这种远程访问木马在2013年之前就已出现,直到去年该木马的几个版本才得以揭露,而且从那以后有关NanoCore的活动就没有停歇。这种远程访问木马主要影响美国的计算机,其次是日本和德国。
目标是谁?
该服务专为玩家所设计,因此大部分目标来自于游戏社区。这种应用程序吸引了大量流媒体视频,这是因为其技术支持同步模式,使用户能在发布游戏对话的同时隐藏敏感信息。
远程访问木马和其他恶意软件幕后的网络攻击者可能已在Discord上传播上述恶意软件,直接从受害者计算机上盗取有关在线游戏的敏感信息(认证信息、道具、游戏币和联系方式)。对于网络攻击者来说,这些信息的价值等同于个人可识别信息(PII),如用户银行账户信息、网络服务认证信息、联系电话、IP地址和生物识别信息。在该过程中,数据盗取者可收集上述所有信息。
赛门铁克安全响应部门已于Discord网络安全团队取得联系,该团队随后迅速地删除了服务器聊天频道中的恶意文件。而且,Discord还新增了一个病毒扫描功能,但用户上传可执行文件或档案文件时,该功能将在其后端服务器运行。Discord不支持或认可第三方网站寄存Discord公开邀请服务器列表。
缓解措施
赛门铁克建议用户在使用Discord时遵守以下最佳经验:
- 不得下载或运行来自未知来源的程序。
- 使用服务器权限控制功能,该功能使用户能够对服务器用户进行管理。
- 限制用户权限以控制服务器滥用,或授予单独权限以实现更好管理。
- 加入Discord服务器时应对聊天频道上发布的内容多加小心。
- 在使用语音频带时,不要将个人信息透露给陌生人。
为了避免恶意软件影响,赛门铁克建议用户及时安装最新补丁和更新程序,以对计算机、安全软件和其他程序进行升级。我们还建议用户留意那些社交应用程序上分享的链接。
保护
赛门铁克和诺顿产品检测本篇博文中所讨论的恶意软件为: