1. 簡介

Discord邀請劫持利用了Discord社群驅動的連結分享生態系統中的信任。攻擊者危害合法伺服器或創建令人信服的偽造伺服器，散播惡意邀請，引導用戶下載Lumma、Rhadamanthys或Stealc等資訊竊取軟體。本報告提供了對此攻擊鏈的深入技術分析，聚焦於Discord基礎設施的攻擊、惡意軟體傳遞技術和防禦對策。

2. 技術攻擊鏈解構

2.1 Discord邀請結構與劫持機制

Discord邀請遵循標準格式： https://discord[.]gg/ 。劫持通過以下方式發生：

• 合法伺服器危害： 攻擊者通過竊取認證(Credential)、危害的管理機器人或社交工程獲得合法伺服器的管理權限。他們替換置頂邀請或發布新的惡意邀請。
• 偽造伺服器創建： 攻擊者創建高度仿真的複製伺服器，模仿熱門社群（遊戲、加密貨幣）。虛榮URL（ discord.gg/trustedname ）是高度珍貴的目標。
• URL操縱與混淆： 如來源所述：

  「用戶可能不會看到像discord.gg/legit這樣的連結，而是看到discord.gg/legit-official或discord.gg/legit-community」1

  。攻擊者利用字形相似性（同形字）或廣泛使用URL縮短服務（bit.ly、tinyurl）來掩蓋最終目的地。

2.2 惡意軟體傳遞機制

被劫持的邀請引導用戶到包含下載指令的惡意伺服器頻道。核心傳遞涉及：

• 惡意軟體託管： 惡意Payload（通常為 .zip 、 .iso 、 .exe ）託管在攻擊者控制的基礎設施上，通常是被滲透的網站或被濫用的合法雲端儲存（GitHub、GitLab、Dropbox）。
• 社交工程誘惑： 頻道內的訊息誘使用戶下載所謂的軟體（遊戲外掛、破解工具、「安全更新」）、加密貨幣應用程式或假贈品。
• 規避技術：
  • 密碼保護的檔案： 檔案以密碼保護的 .zip 檔案形式散播。密碼在Discord頻道中提供。這繞過了自動化沙箱和電子郵件閘道(Email gateway)的基本靜態分析。

    「密碼在Discord頻道描述或訊息中分享，讓受害者輕鬆輸入，同時使自動化掃描失效」1

    。
  • ISO映像檔案： 日益普遍。ISO檔案作為虛擬驅動器掛載，繞過通常標記下載 .exe 檔案的 Mark-of-the-Web (MotW)安全警告。這大大降低了用戶的懷疑。
  • DLL側載： 傳遞的Payload通常不是最終的資訊竊取軟體，而是一個合法的、簽章的應用程式（例如遊戲工具、系統工具），設定為載入惡意動態連結庫（DLL）。惡意DLL通常命名為應用程式預期的合法DLL（例如 version.dll 、 winhttp.dll ），並放置在合法可執行檔旁邊。執行時，合法二進位檔案載入惡意DLL，授予其執行權限，並繞過應用程式白名單和某些行為檢測。
  • 程序掏空(Process hollowing)/注入： 初始載入器可能將最終資訊竊取Payload注入受信任的程序（例如 explorer.exe 、 svchost.exe ），以規避基於程序的監控。

2.3 資訊竊取軟體功能與資料外洩

一旦執行，資訊竊取軟體執行快速、針對性的資料竊取：

• 認證收集： 從網路瀏覽器（Chrome、Firefox、Edge、Brave）中提取儲存的密碼、Cookie和自動填寫資料。目標包括Discord、社交媒體和加密貨幣錢包的認證Token。
• 加密貨幣目標： 主動搜索並竊取加密貨幣錢包檔案（Electrum、Exodus、MetaMask、Coinbase Wallet）及其相關種子短語(Seed phrases)。
• 系統資訊： 收集主機名稱、IP位址、作業系統版本、安裝的軟體和硬體細節，用於Fingerprint和目標選擇。
• Discord Token竊取： 主要目標。竊取用戶的Discord認證Token（ Local Storage → leveldb 資料庫，位於Discord應用程式資料目錄中）。此Token允許攻擊者在不需要密碼或雙因素認證的情況下，完全、持續存取受害者的Discord帳戶。
• 資料外洩： 竊取的資料在傳輸到攻擊者的Command and Control (C2)伺服器之前會被壓縮和加密（通常使用基本XOR或AES）。C2通訊通常通過標準通訊埠（443）的HTTPS進行，以融入正常流量。C2基礎設施通常由被滲透的網站或廉價VPS提供商組成。

3. 基礎設施分析

• 短暫域名： 攻擊者經常使用新註冊的域名（NRDs）或免費託管服務的子域名來傳遞Payload。這些域名的壽命很短（數小時/天）。
• 濫用合法服務： 大量依賴Discord本身（用於指令頻道）、GitHub/GitLab（託管Payload）、Telegram（C2備用）和常見雲端儲存進行散播，提供偽裝。
• 快速變換技術： 一些複雜的操作使用快速變換DNS，快速更改與域名關聯的IP位址，以阻礙移除和黑名單。
• 防彈託管： C2伺服器通常託管在濫用政策寬鬆的提供商或對移除請求抗拒的司法管轄區。

4. 檢測與緩解策略（技術焦點）

• URL分析：
  • 對Discord邀請實施嚴格的正則表達式過濾（ discord\.gg\/[a-zA-Z0-9]+ ），並密切檢查偏差。
  • 部署URL信譽服務和縮短URL的沙箱處理。
  • 訓練用戶在點擊前手動驗證邀請真實性，檢查伺服器名稱、擁有者、成員數量和頻道歷史。將滑鼠懸停在連結上以查看真實目的地。
• 檔案分析與沙箱處理：
  • 使用能夠處理密碼保護檔案（用戶輔助模擬）和掛載ISO檔案的高級沙箱。
  • 利用深度靜態分析（熵檢查、匯入表異常、數位簽章驗證——即使是涉及側載的簽章二進位檔案）和動態行為分析（監控可疑的程序注入、登錄檔修改、敏感檔案存取模式）。
  • 在可行的情況下，通過群組原則或端點檢測與回應（EDR）規則阻止直接從掛載的ISO映像執行檔案。
• 端點保護：
  • 部署具有行為檢測功能的EDR/XDR解決方案，專注於DLL側載模式（例如合法程序從臨時下載目錄載入意外DLL）、程序掏空(Process hollowing)和從瀏覽器程序存取認證。
  • 實施應用程式控制/白名單，防止未授權的可執行檔案從 %TEMP% 、 %DOWNLOAD% 和其他用戶可寫位置執行。
  • 為關鍵系統目錄和瀏覽器資料位置實施強大的防篡改措施。
  • 定期審計已安裝的軟體和瀏覽器擴充功能。
• 網路監控：
  • 監控對低信譽IP/ASNs、新註冊域名或符合已知惡意軟體C2模式的域名的出站HTTPS流量（例如高熵、特定SSL憑證屬性）。
  • 檢測下載檔案後不久的異常資料外洩量。
  • 在政策和隱私法規允許的情況下，利用TLS/SSL檢查來檢測加密的C2流量模式。
• Discord特定保護措施：
  • Token安全： 將您的Discord Token視為密碼。切勿分享顯示您客戶端的螢幕。嚴格使用雙因素認證。請注意，即使啟用了雙因素認證，惡意軟體仍可竊取Token。
  • 伺服器強化： 伺服器管理員應強制使用強大的管理員認證、使用雙因素認證、審計機器人權限、定期檢查邀請/置頂訊息，並禁用未使用的功能。限制邀請創建權限。
  • 用戶警惕： 對於Discord中連結的下載，特別是密碼保護的檔案或ISO檔案，需極度謹慎。獨立驗證軟體來源。

5. 結論

Discord邀請劫持代表了一種強大且不斷演變的威脅，利用了該平台的核心社交和分享功能。其技術複雜性不在於新穎的惡意軟體技術，而在於社交工程、受信任平台（Discord、GitHub）的濫用以及密碼保護檔案、ISO檔案和DLL側載等規避方法的戰術性組合。Discord Token的竊取創造了一個自我延續的循環，使攻擊者能夠劫持更多帳戶並放大其操作。

防禦此威脅需要多層次的方法，結合嚴格的技術控制（高級URL/檔案分析、具有行為檢測的EDR、網路監控）、特定平台的強化以及持續的用戶教育，專注於驗證邀請和對下載保持極度謹慎。基礎設施的短暫性和合法服務的濫用使得純粹被動的黑名單不足以應對；主動檢測和用戶意識至關重要。隨著Discord用戶群的增長，特別是在遊戲和加密貨幣社群等高價值目標中，此攻擊途徑可能仍將是威脅格局的重要組成部分。

參考資料

1. Dark Atlas. "Discord Invite Hijacking: How Fake Links Are Delivering Infostealers."
2. MITRE ATT&CK. "T1574.002: DLL Side-Loading."
3. Microsoft. "Mark of the Web and zones."
4. OWASP. "OWASP Proactive Controls 2024: C8: Security Logging and Monitoring."
5. CISA. "Living Off the Land Binaries, Scripts and Libraries (LOLBAS)."
6. Splunk. "Hunting for Discord Token Theft with Splunk."
7. Elastic Security Labs. "Tracking Rhadamanthys Stealer."