Discord面世六年間訊速發展,聊天與VoIP服務在遊戲玩家或年輕一代中普及速度極快,但一如其他可以由用戶產生內容的平台一樣,Discord的漏洞被有心人加以利用,變成網絡攻擊的渠道,以下是一些常見的攻擊手法,讓大家能知己知彼,加以防範。
經由Discord散播的惡意程式
惡意的檔案經由Discord作為散播渠道是最大的威脅,近日一個研究指出數十種惡意程式正由這種渠道傳播,而事實上從Discord分享檔案十分簡單,所有上載到平台上的檔案都有一條固定的網址,格式如下:
cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}
大部份的檔案只要有連結都可以自由下載。該研究描述了一個現實生活的攻擊例子,一個假網站提供Zoom Web客端下載,網站看起來像宜,而惡意檔案存放在Discord伺服器,繞過了從不信任來源下載的限制,因為該伺服器相當普及,被防毒軟件攔截的機會較低。不過優質的防護方案會從多角度觀察威脅,不會單從來源決定,Kaspersky的工具能在用立初次下載檔案時立即偵測到檔案的惡意功能,再通知雲端的保安系統,讓其他用戶都知道該檔案應該被攔截。
所有提功用戶產生內容的服務都遇上類似的不當使用問題,免費網原存放網站很容易就發現釣魚網頁,檔案分享平台被用作散播木馬程式等等,雖然平台擁有有會嘗試對抗濫用和不當使用,但結果並不不定全部喜訊。
Discord的開發人員明顯需要部署部份保護用戶的措拖,例如在特定聊天伺服器上的檔案,無需讓全世界人下載,檢查和自動攔截已知的惡意程式等,有關的問題並非Discord獨有而需要面對,解決方法與對抗其他惡意程式分別不大,但這並非用戶面對的唯一威脅。
惡意機械人(bots)
另一個研究展示了利用Discord的機械人系統漏洞的簡單程度,機械人的原意是以不同方式延伸聊天伺服器的功能,在Discord有很多不同主題的聊天,其中之一是與惡意編碼有關的聊天於早前在GitHub被公開(很快便被移除),使用主要由Discord API提供能的能力,作者可以在用戶的電腦上執行任意代碼,看起來可能像下圖一樣:
在其中一個攻擊的劇本中,惡意編碼倚靠已安裝的Discord客端在開機時自動啟動,在不明來源安裝的機械人有可能導致這種後果。而另一個被不當使用的個案,惡意程式則使用聊天服務去進行溝通,通過公共API,不複雜的登記過程和基本的數據加密,後門程式能簡單方便地使用Discord傳送數據到受感染的系統,另一方則是接收指令和執行代碼或上載新惡意模組等行為。
以上的劇本都相當危險,因為大大簡化了攻擊者的工作,他們不需要創建與受感染裝置的通訊介面,而是直接使用現有的工具,同時也令偵測惡意活動的工作變得複雜,因為後門之間的通訊看起來與正常聊天相似。
遊戲玩家是最高風險用戶群
雖然上述的威脅有機會影響到所有Discord用戶,但最主要還是那些使用Discord作為遊戲插件,加入語音和文字通訊、串流、收集遊玩統計等功能的遊戲玩家,他們屬於安裝惡意輔助程式的高風險一群。
看似安全的環境可能暗藏威脅,尤其社交工程技術的成功率一直增加,容易讓人以為正在與朋友聊天。我們建議在Discord依然要遵守在網絡上的數碼清潔守則,不要點擊可疑連結或下載可疑檔案,小心看起來好得難以置信的「優惠」,同時切勿分享任何個人或財務資料。
對於木馬或後門程式,雖然以Discord為基礎或在該平台上散播,但他們並非特別或其他種類的惡意程式,使用可靠的防毒方案一般都能夠保障安全,保持程式的執行,包括安裝任何軟件其加入機械人到聊天伺服器時,並留意出現的警告訊息。
資料來源:Kaspersky Blog