telegram session hijacking

2018年5月16日，Talos发表了关于Telegrab的一篇文章，介绍了可以劫持Telegram会话的恶意软件。原理非常简单：如果攻击者可以复制桌面用户的会话令牌（session token），那么就能劫持会话。除了本地存储的信息外，攻击者不需要其他任何信息。无论信息是否经过加密都不重要，只要复制这个信息，攻击者就能使用该新信息创建一个影子会话（shadow session）。 ‍

实战环境

有的时候，迫于一些目的，当有目标PC机权限的时候，需要对该目标的个人通讯进行持续的监控获取更多的有利信息，那么就有了session hijacking的需求。 ‍

目录结构

Telegram用户数据一般存放在与telegram.exe同目录下的tdata文件夹内。一个有效的telegram登录用户的目录结构如下：

关键几个文件如下： settingss文件主要存储了用户页面相关的配置，包括背景图片，颜色，语言包等配置信息。 D877F783D5D3EF8Cs文件主要存储了用户的userId，以及与telegram云端进行数据通信时所使用到的加密密钥。 D877F783D5D3EF8C/maps文件中lskSelfSerialized字段存储了用户的基本信息，包括用户id，头像，姓名，注册电话，上次在线时间等信息。而其他字段主要存储的是一些配置或者资源文件的文件名，并且与文章开头列举的D877F783D5D3EF8C文件夹下的文件一一对应。 D877F783D5D3EF8C/configs configs文件主要存储了用户聊天，与telegram云端进行通信时的一些基础配置，包括telegram云端的ip和端口，撤回消息的时长限制等配置信息。 ‍ TG具体怎么加密保存这些信息的，能力有限也不去分析了。 ‍

session hijacking流程

众所周知，telegram默认是支持多端登录的，多端之间没有设备交叉验证来获取密钥解密，所以这种特性就造成了就变成了劫持session的最完美的前置条件，仅仅只需要你得tdata文件。现在流传在网上的session劫持方法都是通过复制整个tdata文件夹进行session的劫持，但对于一个使用了较长时间的telegram来说，tdata的体积会变得十分庞大（MB，甚至GB的量级），这在实战的过程中会有很大的局限性。在强隐蔽的情况下，动大动作去拖取上GB的做法是十分不理智的。现在我们已经有解读大部分tdata文件的能力，因此可以选取最关键（保存session）的文件，减小拖取文件的体积，从而更方便于session的劫持。能够成功进行session劫持的关键文件有：