破解 Discord 安全機制:Token 重播攻擊全流程剖析
Discord Token Stealing 攻擊手法全解:從瀏覽器到剪貼簿注入
為什麼 Discord 成為攻擊目標
Discord 已從單純的語音聊天工具,演變為結合開發者社群、NFT 社群、詐騙機構與惡意市場的多功能平台。其跨平台、高黏性與大量的自動化機器人功能,使攻擊者能藉由接管帳號取得頻道控制權、植入釣魚訊息、轉發惡意連結,甚至直接進行金流詐騙與資料竊取。
程序員阿凱 Telegram:@Ti969
更重要的是,Discord 採用 Token 驗證用戶身份,許多場景下無需帳號密碼即可重現 Session,這為 Token Stealing 提供了極高的價值與攻擊動機。
Discord Token 的運作邏輯與弱點
Discord 採用 OAuth2 的 Token 系統來識別用戶登入狀態:
每個登入後的使用者都會被發配一組持久性 Token
該 Token 會存在於本地檔案系統、瀏覽器儲存、應用快取中
可透過 Token 單獨完成 API 認證與操作,不需再次登入或驗證
此設計雖提升使用者體驗,卻也使攻擊者可透過竊取 Token 達成帳號接管,而無需觸發任何使用者的登入行為或警示。
攻擊向量一:本地瀏覽器與應用程式快取抓取
Discord 的桌面版(基於 Electron)會將 Token 儲存在以下位置:
Windows 上的 %AppData%\Discord\Local Storage\leveldb
Chromium 瀏覽器擴展中的 Web Storage
Electron 快取資料夾中的 Local Storage 檔案
攻擊者常見的方式:
透過木馬後門或 Dropper,掃描本機檔案系統尋找 Discord、Chrome、Edge、Brave 等常用程式快取目錄
分析 .ldb 或 .log 檔案,利用正規表達式擷取出符合格式的 Token 字串
發送至 C2 Server 或硬編碼的 Webhook API 以便遠端接收與實用化
該流程多與木馬家族整合(如 Redline、RAT 工具),攻擊者可自動化批次收集並即時進行 Token 檢查與濫用。
攻擊向量二:剪貼簿注入與替換
部份攻擊者更進一步利用惡意程式常駐於受害者電腦中,監控剪貼簿資料變化。該技術主要針對使用者:
從 Discord 分享 Token、URL、邀請碼
操作 API 工具時將 Token 貼至瀏覽器或其他介面
攻擊手法流程如下:
常駐程式 Hook 系統剪貼簿 API(如 GetClipboardData)
偵測剪貼簿中出現疑似 Discord Token 的內容(格式以 mfa. 或 eyJ 開頭)
將該 Token 回傳至攻擊者端或立即重播請求進行使用者會話偵測
此技術無需 UI 界面、無需高權限,極難偵測,特別是在低安全意識的環境中尤為有效。
攻擊向量三:Token 注入與 Session 劫持技術
進階攻擊者可反過來將攔截到的 Token 注入到受害者系統中以進行後續滲透,例如:
在機器中注入他人 Token,用於假冒身份參與群組
強制 Discord 應用重新加載,並導入植入後的 Token
自動控制帳號進行轉發、訊息推送、惡意邀請鏈接派發
此類攻擊常見於 Discord Bot 開發者生態、模組分享社群,利用「內建功能更新」作為掩護載入注入模組。
防偵測與沙箱繞過技巧
為避免被防毒或行為分析引擎識破,攻擊者常見繞過策略如下:
使用 Discord Webhook 作為 exfiltration 渠道,降低域名封鎖機率
透過 PowerShell 或 JavaScript 直接於記憶體中抓取與解碼 Token,避免磁碟落痕
加入地區/語系驗證機制,僅針對特定語言、IP範圍或時區執行主邏輯
檢測沙箱環境或虛擬機記憶體特徵以阻止代碼執行
此外,部分攻擊者甚至設置「回傳異常分析」模組,判斷是否存在偵測、截斷、API 限速等現象。
防禦建議與防止重播
針對 Discord Token Stealing 的防禦策略可分為三層:
1.使用者端保護
禁止儲存 Token 至公共區域
使用 Discord 官方兩步驗證與登入位置通知功能
2.開發者與管理員端
不在分享工具與腳本中硬編碼 Token
定期輪替 Bot Token 並監控 API 異常行為
3.組織與監控層
使用 EDR 工具監控 Discord 快取路徑讀寫行為
建立 Honey Token 系統誘捕並追蹤外洩行為
唯有多層保護與持續的行為檢測才能有效遏止此類攻擊持續擴散。
#Discord資安#TokenStealing#Session劫持#社交平台滲透#惡意程式行為分析#資安攻擊手法#剪貼簿監控#EDR繞過技術