2026年初，地下網(wǎng)絡(luò)出現(xiàn)了一款叫Storm的信息竊取木馬。它月租不到1000美元，卻能把企業(yè)花大價(jià)錢部署的多因素認(rèn)證（MFA）變成擺設(shè)。這不是技術(shù)升級(jí)，是攻擊邏輯的徹底換道。

瀏覽器憑證竊取這個(gè)老業(yè)務(wù)，正在經(jīng)歷一場(chǎng)靜默的范式轉(zhuǎn)移。

Storm的核心賣點(diǎn)很直接：不在受害者機(jī)器上解密任何東西。它只負(fù)責(zé)打包、上傳，把臟活累活搬到攻擊者自己的服務(wù)器完成。端點(diǎn)安全工具習(xí)慣了監(jiān)控本地SQLite調(diào)用和內(nèi)存注入，突然發(fā)現(xiàn)自己成了瞎子。

本地解密之死：Chrome 127逼出的進(jìn)化

信息竊取木馬的歷史可以分成兩段。早期版本直接在受害者設(shè)備上加載SQLite庫，讀取瀏覽器憑證數(shù)據(jù)庫，現(xiàn)場(chǎng)解密。端點(diǎn)檢測(cè)工具很快學(xué)會(huì)了識(shí)別這些行為模式——異常的進(jìn)程內(nèi)存訪問、可疑的瀏覽器API調(diào)用、非預(yù)期的文件句柄操作。

2024年7月，Google在Chrome 127推出App-Bound Encryption（應(yīng)用綁定加密）。加密密鑰與Chrome進(jìn)程本身綁定，第三方程序即使拿到數(shù)據(jù)庫文件也無法本地解密。第一批繞過方案很快出現(xiàn)：注入Chrome進(jìn)程、濫用調(diào)試協(xié)議、劫持渲染器。但這些手法都有明顯特征，安全工具依然能抓。

木馬開發(fā)者干脆放棄本地解密。加密文件直接上傳，在攻擊者控制的基礎(chǔ)設(shè)施里慢慢處理。端點(diǎn)工具失去了最關(guān)鍵的觀測(cè)窗口——它們看不到服務(wù)器上發(fā)生的事。

Storm把這種"服務(wù)器端解密"模式推到了極致。它同時(shí)支持Chromium內(nèi)核瀏覽器（Chrome、Edge、Brave等）和Gecko內(nèi)核瀏覽器（Firefox、Waterfox、Pale Moon）。競品StealC V2處理Firefox時(shí)仍需本地操作，Storm全部外包給云端。

收集的數(shù)據(jù)清單長得嚇人：保存的密碼、會(huì)話Cookie、自動(dòng)填充信息、Google賬戶令牌、信用卡數(shù)據(jù)、瀏覽歷史。一個(gè)被攻陷的員工瀏覽器，等于把企業(yè)SaaS平臺(tái)、內(nèi)部工具、云環(huán)境的已認(rèn)證訪問權(quán)限拱手讓人——全程不需要觸發(fā)任何基于密碼的告警。

會(huì)話劫持自動(dòng)化：從"偷鑰匙"到"直接開門"

Storm的控制面板設(shè)計(jì)暴露了攻擊者的產(chǎn)品思維。傳統(tǒng)竊取木馬把原始日志丟給買家，買家自己想辦法復(fù)用。Storm把下一步也包了：輸入Google刷新令牌，配上地理位置匹配的SOCKS5代理，面板自動(dòng)恢復(fù)受害者的認(rèn)證會(huì)話。

Varonis威脅實(shí)驗(yàn)室的研究人員給這類攻擊起過名字。Cookie-Bite研究展示了被盜的Azure Entra ID會(huì)話Cookie如何讓MFA失效——攻擊者持久化訪問Microsoft 365，全程不需要密碼。SessionShark分析則追蹤了釣魚工具包如何實(shí)時(shí)攔截會(huì)話令牌，繞過Microsoft 365的多因素認(rèn)證。

Storm的Cookie恢復(fù)功能本質(zhì)上是同一套技術(shù)，但被產(chǎn)品化、訂閱化、傻瓜化。攻擊者不需要理解OAuth流程，不需要配置代理鏈，不需要手動(dòng)拼接請(qǐng)求頭。填兩個(gè)字段，點(diǎn)一個(gè)按鈕，受害者的Gmail、Google Workspace、GCP控制臺(tái)就在新標(biāo)簽頁里打開了。

這不是工具民主化，是攻擊門檻的斷崖式下跌。

企業(yè)安全團(tuán)隊(duì)面臨的困境在于：防御體系的設(shè)計(jì)假設(shè)正在被系統(tǒng)性否定。MFA被當(dāng)作身份安全的終極防線，但它的有效性建立在"攻擊者無法拿到會(huì)話憑證"的前提上。Storm證明這個(gè)前提在瀏覽器架構(gòu)層面就是脆弱的——Cookie一旦泄露，MFA的第二次驗(yàn)證就成了馬后炮。

端點(diǎn)檢測(cè)的盲區(qū)：當(dāng)惡意行為發(fā)生在別處

傳統(tǒng)端點(diǎn)保護(hù)工具（EDR/XDR）的檢測(cè)邏輯高度依賴本地行為分析。進(jìn)程注入、內(nèi)存篡改、異常API調(diào)用、可疑網(wǎng)絡(luò)連接——這些 telemetry 構(gòu)成了威脅獵殺的基礎(chǔ)素材。Storm的操作模式幾乎不產(chǎn)生這類信號(hào)：它讀取的是瀏覽器正常訪問的文件，建立的是HTTPS出站連接，加密的是標(biāo)準(zhǔn)TLS流量。

服務(wù)器端解密的代價(jià)是攻擊者需要維護(hù)基礎(chǔ)設(shè)施，但云計(jì)算讓這變得廉價(jià)。Storm的運(yùn)營者可以批量 spun up 解密節(jié)點(diǎn)，按任務(wù)量彈性伸縮。相比之下，企業(yè)安全團(tuán)隊(duì)要在海量正常流量中識(shí)別"加密文件上傳"這一單一行為，誤報(bào)率足以讓運(yùn)營癱瘓。

更隱蔽的是時(shí)間差。本地解密是即時(shí)完成的，攻擊窗口與感染時(shí)間重合。服務(wù)器端解密允許異步處理——木馬凌晨三點(diǎn)上傳數(shù)據(jù)，攻擊者下午三點(diǎn)在另一個(gè)時(shí)區(qū)解密利用，端點(diǎn)工具很難把這兩個(gè)事件關(guān)聯(lián)成同一次攻擊鏈。

Gecko瀏覽器的處理差異暴露了技術(shù)路線的分野。Firefox等瀏覽器使用與Chromium不同的憑證存儲(chǔ)機(jī)制，部分競品選擇保留本地處理以兼容舊代碼。Storm的統(tǒng)一服務(wù)器端方案意味著更復(fù)雜的后端架構(gòu)，但也意味著更一致的操作特征——或者說，更一致的不可檢測(cè)性。

訂閱制木馬的經(jīng)濟(jì)學(xué)：為什么1000美元是個(gè)危險(xiǎn)信號(hào)

Storm的定價(jià)策略本身值得拆解。月租模式降低了攻擊者的初始投入，把固定成本轉(zhuǎn)化為可變成本。對(duì)于以竊取憑證為生的網(wǎng)絡(luò)犯罪從業(yè)者，這相當(dāng)于把資本支出變成了運(yùn)營支出，現(xiàn)金流壓力大幅緩解。

價(jià)格錨定也有講究。1000美元以下這個(gè)區(qū)間，避開了需要復(fù)雜審批的企業(yè)采購流程，又足以篩選掉純好奇的腳本小子。目標(biāo)用戶是那些有一定技術(shù)基礎(chǔ)、追求穩(wěn)定產(chǎn)出、愿意付費(fèi)換取"即開即用"體驗(yàn)的職業(yè)攻擊者。

產(chǎn)品功能的分層設(shè)計(jì)暗示了生態(tài)成熟度?；A(chǔ)套餐包憑證竊取，高級(jí)功能加會(huì)話恢復(fù)自動(dòng)化。這種SaaS化的產(chǎn)品演進(jìn)路徑，與合法軟件行業(yè)并無二致——先解決核心痛點(diǎn)，再圍繞用戶工作流疊加增值服務(wù)。

地下經(jīng)濟(jì)的工業(yè)化程度，正在逼近甚至超越部分垂直領(lǐng)域的合法軟件市場(chǎng)。

控制面板的用戶體驗(yàn)細(xì)節(jié)說明了問題。地理匹配代理的自動(dòng)推薦、會(huì)話狀態(tài)的實(shí)時(shí)可視化、一鍵導(dǎo)入導(dǎo)出功能——這些不是技術(shù)必需品，是降低操作摩擦的產(chǎn)品決策。攻擊者也在做用戶研究，也在優(yōu)化轉(zhuǎn)化漏斗，也在追求客戶留存。

企業(yè)防御側(cè)的對(duì)應(yīng)措施卻顯得零散。瀏覽器廠商持續(xù)加固加密方案，但每輪升級(jí)都在逼迫攻擊者向更難觀測(cè)的模式遷移。安全工具廠商追逐行為特征，但行為特征的定義權(quán)正在滑向攻擊者的基礎(chǔ)設(shè)施。身份團(tuán)隊(duì)推行的零信任架構(gòu)理論上可以限制會(huì)話劫持的橫向移動(dòng)，但部署復(fù)雜度和業(yè)務(wù)摩擦讓大規(guī)模落地遙遙無期。

Google賬戶令牌的特別處理揭示了平臺(tái)生態(tài)的連鎖風(fēng)險(xiǎn)。Storm專門提取這類令牌，因?yàn)樗鼈兺ǔＪ荗Auth流程中的高價(jià)值憑證。一個(gè)有效的刷新令牌可以換取多個(gè)服務(wù)的訪問權(quán)限，且不會(huì)觸發(fā)用戶側(cè)的重新認(rèn)證提示。對(duì)于深度嵌入Google Workspace生態(tài)的企業(yè)，這意味著單點(diǎn)淪陷可能演變?yōu)槿蚴Э亍?/p>

信用卡數(shù)據(jù)和瀏覽歷史的并列收集，則指向攻擊者的多元化變現(xiàn)策略。憑證可以直接出售，會(huì)話可以劫持利用，金融信息可以欺詐消費(fèi)，行為數(shù)據(jù)可以精準(zhǔn)釣魚。同一批被盜數(shù)據(jù)在不同市場(chǎng)分層流通，攻擊者的ROI計(jì)算遠(yuǎn)比防御方的安全預(yù)算模型精細(xì)。

Varonis在相關(guān)研究中強(qiáng)調(diào)的"MFA繞過"現(xiàn)象，正在從實(shí)驗(yàn)室概念變成商品化功能。Cookie-Bite和SessionShark所演示的攻擊路徑，過去需要攻擊者具備相當(dāng)?shù)膮f(xié)議理解和工具開發(fā)能力。Storm把這套能力封裝成網(wǎng)頁界面里的兩個(gè)輸入框，技術(shù)門檻的消解速度超過了防御體系的適應(yīng)速度。

瀏覽歷史的價(jià)值常被低估。它不僅包含用戶訪問過的站點(diǎn)，還暴露工作節(jié)奏、協(xié)作模式、關(guān)注領(lǐng)域、甚至安全意識(shí)的薄弱點(diǎn)。攻擊者可以用這些信息 crafting 更具說服力的釣魚誘餌，或者識(shí)別那些頻繁訪問敏感系統(tǒng)的高價(jià)值目標(biāo)。

自動(dòng)填充數(shù)據(jù)的收集則觸及了密碼管理器的替代方案困境。許多用戶依賴瀏覽器的自動(dòng)填充功能作為"輕量級(jí)密碼管理"，卻意識(shí)不到這些數(shù)據(jù)以何種形式存儲(chǔ)、以何種方式保護(hù)。Storm的批量提取能力，相當(dāng)于一次性攻破數(shù)百個(gè)弱保護(hù)的憑證庫。

SOCKS5代理的集成設(shè)計(jì)體現(xiàn)了攻擊者的運(yùn)營安全考量。直接使用攻擊者IP恢復(fù)會(huì)話，會(huì)在目標(biāo)服務(wù)的訪問日志中留下異常地理特征。地理匹配代理讓劫持會(huì)話看起來像是用戶在正常出差或遠(yuǎn)程辦公，增加了事后溯源的難度。

這種"運(yùn)營安全即服務(wù)"的模式，與合法企業(yè)的合規(guī)自動(dòng)化形成諷刺的對(duì)稱。雙方都在把最佳實(shí)踐封裝成可復(fù)用的功能模塊，只是服務(wù)對(duì)象截然相反。

企業(yè)安全團(tuán)隊(duì)如果還在用"是否觸發(fā)密碼告警"來判斷賬戶安全，需要重新審視假設(shè)了。Storm的攻擊鏈全程不涉及密碼猜測(cè)、暴力破解或憑證填充——它直接復(fù)用合法的會(huì)話憑證，在身份系統(tǒng)的視角里，這就是合法用戶在進(jìn)行合法操作。

檢測(cè)策略的遷移壓力由此產(chǎn)生。從"識(shí)別惡意登錄"轉(zhuǎn)向"識(shí)別異常會(huì)話行為"，需要更精細(xì)的上下文建模：設(shè)備指紋的變化、交互模式的偏離、資源訪問范圍的突變。但這些信號(hào)的采集和分析，對(duì)大多數(shù)企業(yè)的安全運(yùn)營成熟度提出了過高要求。

瀏覽器廠商的安全升級(jí)與攻擊者的繞過創(chuàng)新，構(gòu)成了一場(chǎng)不對(duì)稱的軍備競賽。Chrome的App-Bound Encryption增加了本地攻擊成本，卻把戰(zhàn)場(chǎng)推向了防御者更難觀測(cè)的服務(wù)器端。每輪升級(jí)都在重新定義"足夠安全"的邊界，但邊界的外移速度似乎總是快于防御體系的擴(kuò)展速度。

Storm對(duì)雙內(nèi)核瀏覽器的統(tǒng)一支持，也反映了攻擊者的市場(chǎng)覆蓋策略。Chromium系瀏覽器在企業(yè)環(huán)境占主導(dǎo)，但Firefox在開發(fā)者、隱私敏感用戶、特定地區(qū)市場(chǎng)仍有顯著份額。不挑食的數(shù)據(jù)收集，最大化潛在受害者的覆蓋面。

木馬的技術(shù)演進(jìn)與地下經(jīng)濟(jì)的基礎(chǔ)設(shè)施成熟相互加速。加密貨幣支付、匿名托管、自動(dòng)化構(gòu)建流水線、客戶支持論壇——這些支撐要素讓單個(gè)木馬項(xiàng)目可以專注于核心功能創(chuàng)新，而不必從零搭建運(yùn)營體系。

對(duì)于依賴瀏覽器作為核心工作入口的知識(shí)型企業(yè)，Storm的出現(xiàn)提出了一個(gè) uncomfortable 的問題：當(dāng)攻擊者可以低成本、規(guī)?；亟俪忠颜J(rèn)證會(huì)話，現(xiàn)有的身份安全投資是否押錯(cuò)了方向？MFA沒有失效，但它保護(hù)的那個(gè)"登錄時(shí)刻"，正在變得越來越無關(guān)緊要。

攻擊者已經(jīng)找到了繞開前門的方法，而且正在把這條路修成高速公路。企業(yè)防御體系準(zhǔn)備好應(yīng)對(duì)一個(gè)"沒有密碼泄露"的憑證竊取時(shí)代了嗎？