Discord 已從單純的語音聊天工具，演變為結合開發者社群、NFT 社群、詐騙機構與惡意市場的多功能平台。其跨平台、高黏性與大量的自動化機器人功能，使攻擊者能藉由接管帳號取得頻道控制權、植入釣魚訊息、轉發惡意連結，甚至直接進行金流詐騙與資料竊取。

程序員阿凱 Telegram:@Ti969

更重要的是，Discord 採用 Token 驗證用戶身份，許多場景下無需帳號密碼即可重現 Session，這為 Token Stealing 提供了極高的價值與攻擊動機。

Discord 採用 OAuth2 的 Token 系統來識別用戶登入狀態：

• 每個登入後的使用者都會被發配一組持久性 Token

• 該 Token 會存在於本地檔案系統、瀏覽器儲存、應用快取中

• 可透過 Token 單獨完成 API 認證與操作，不需再次登入或驗證

此設計雖提升使用者體驗，卻也使攻擊者可透過竊取 Token 達成帳號接管，而無需觸發任何使用者的登入行為或警示。

Discord 的桌面版（基於 Electron）會將 Token 儲存在以下位置：

• Windows 上的 %AppData%\Discord\Local Storage\leveldb

• Chromium 瀏覽器擴展中的 Web Storage

• Electron 快取資料夾中的 Local Storage 檔案

攻擊者常見的方式：

1. 透過木馬後門或 Dropper，掃描本機檔案系統尋找 Discord、Chrome、Edge、Brave 等常用程式快取目錄

2. 分析 .ldb 或 .log 檔案，利用正規表達式擷取出符合格式的 Token 字串

3. 發送至 C2 Server 或硬編碼的 Webhook API 以便遠端接收與實用化

該流程多與木馬家族整合（如 Redline、RAT 工具），攻擊者可自動化批次收集並即時進行 Token 檢查與濫用。

部份攻擊者更進一步利用惡意程式常駐於受害者電腦中，監控剪貼簿資料變化。該技術主要針對使用者：

• 從 Discord 分享 Token、URL、邀請碼

• 操作 API 工具時將 Token 貼至瀏覽器或其他介面

攻擊手法流程如下：

1. 常駐程式 Hook 系統剪貼簿 API（如 GetClipboardData）

2. 偵測剪貼簿中出現疑似 Discord Token 的內容（格式以 mfa. 或 eyJ 開頭）

3. 將該 Token 回傳至攻擊者端或立即重播請求進行使用者會話偵測

此技術無需 UI 界面、無需高權限，極難偵測，特別是在低安全意識的環境中尤為有效。

進階攻擊者可反過來將攔截到的 Token 注入到受害者系統中以進行後續滲透，例如：

• 在機器中注入他人 Token，用於假冒身份參與群組

• 強制 Discord 應用重新加載，並導入植入後的 Token

• 自動控制帳號進行轉發、訊息推送、惡意邀請鏈接派發

此類攻擊常見於 Discord Bot 開發者生態、模組分享社群，利用「內建功能更新」作為掩護載入注入模組。

為避免被防毒或行為分析引擎識破，攻擊者常見繞過策略如下：

• 使用 Discord Webhook 作為 exfiltration 渠道，降低域名封鎖機率

• 透過 PowerShell 或 JavaScript 直接於記憶體中抓取與解碼 Token，避免磁碟落痕

• 加入地區/語系驗證機制，僅針對特定語言、IP範圍或時區執行主邏輯

• 檢測沙箱環境或虛擬機記憶體特徵以阻止代碼執行

此外，部分攻擊者甚至設置「回傳異常分析」模組，判斷是否存在偵測、截斷、API 限速等現象。

針對 Discord Token Stealing 的防禦策略可分為三層：

1.使用者端保護

• 禁止儲存 Token 至公共區域

• 使用 Discord 官方兩步驗證與登入位置通知功能

2.開發者與管理員端

• 不在分享工具與腳本中硬編碼 Token

• 定期輪替 Bot Token 並監控 API 異常行為

3.組織與監控層

• 使用 EDR 工具監控 Discord 快取路徑讀寫行為

• 建立 Honey Token 系統誘捕並追蹤外洩行為

唯有多層保護與持續的行為檢測才能有效遏止此類攻擊持續擴散。

#Discord資安#TokenStealing#Session劫持#社交平台滲透#惡意程式行為分析#資安攻擊手法#剪貼簿監控#EDR繞過技術

Discord 已從單純的語音聊天工具，演變為結合開發者社群、NFT 社群、詐騙機構與惡意市場的多功能平台。其跨平台、高黏性與大量的自動化機器人功能，使攻擊者能藉由接管帳號取得頻道控制權、植入釣魚訊息、轉發惡意連結，甚至直接進行金流詐騙與資料竊取。

程序員阿凱 Telegram:@Ti969

更重要的是，Discord 採用 Token 驗證用戶身份，許多場景下無需帳號密碼即可重現 Session，這為 Token Stealing 提供了極高的價值與攻擊動機。

Discord 採用 OAuth2 的 Token 系統來識別用戶登入狀態：

• 每個登入後的使用者都會被發配一組持久性 Token

• 該 Token 會存在於本地檔案系統、瀏覽器儲存、應用快取中

• 可透過 Token 單獨完成 API 認證與操作，不需再次登入或驗證

此設計雖提升使用者體驗，卻也使攻擊者可透過竊取 Token 達成帳號接管，而無需觸發任何使用者的登入行為或警示。

Discord 的桌面版（基於 Electron）會將 Token 儲存在以下位置：

• Windows 上的 %AppData%\Discord\Local Storage\leveldb

• Chromium 瀏覽器擴展中的 Web Storage

• Electron 快取資料夾中的 Local Storage 檔案

攻擊者常見的方式：

1. 透過木馬後門或 Dropper，掃描本機檔案系統尋找 Discord、Chrome、Edge、Brave 等常用程式快取目錄

2. 分析 .ldb 或 .log 檔案，利用正規表達式擷取出符合格式的 Token 字串

3. 發送至 C2 Server 或硬編碼的 Webhook API 以便遠端接收與實用化

該流程多與木馬家族整合（如 Redline、RAT 工具），攻擊者可自動化批次收集並即時進行 Token 檢查與濫用。

部份攻擊者更進一步利用惡意程式常駐於受害者電腦中，監控剪貼簿資料變化。該技術主要針對使用者：

• 從 Discord 分享 Token、URL、邀請碼

• 操作 API 工具時將 Token 貼至瀏覽器或其他介面

攻擊手法流程如下：

1. 常駐程式 Hook 系統剪貼簿 API（如 GetClipboardData）

2. 偵測剪貼簿中出現疑似 Discord Token 的內容（格式以 mfa. 或 eyJ 開頭）

3. 將該 Token 回傳至攻擊者端或立即重播請求進行使用者會話偵測

此技術無需 UI 界面、無需高權限，極難偵測，特別是在低安全意識的環境中尤為有效。

進階攻擊者可反過來將攔截到的 Token 注入到受害者系統中以進行後續滲透，例如：

• 在機器中注入他人 Token，用於假冒身份參與群組

• 強制 Discord 應用重新加載，並導入植入後的 Token

• 自動控制帳號進行轉發、訊息推送、惡意邀請鏈接派發

此類攻擊常見於 Discord Bot 開發者生態、模組分享社群，利用「內建功能更新」作為掩護載入注入模組。

為避免被防毒或行為分析引擎識破，攻擊者常見繞過策略如下：

• 使用 Discord Webhook 作為 exfiltration 渠道，降低域名封鎖機率

• 透過 PowerShell 或 JavaScript 直接於記憶體中抓取與解碼 Token，避免磁碟落痕

• 加入地區/語系驗證機制，僅針對特定語言、IP範圍或時區執行主邏輯

• 檢測沙箱環境或虛擬機記憶體特徵以阻止代碼執行

此外，部分攻擊者甚至設置「回傳異常分析」模組，判斷是否存在偵測、截斷、API 限速等現象。

針對 Discord Token Stealing 的防禦策略可分為三層：

1.使用者端保護

• 禁止儲存 Token 至公共區域

• 使用 Discord 官方兩步驗證與登入位置通知功能

2.開發者與管理員端

• 不在分享工具與腳本中硬編碼 Token

• 定期輪替 Bot Token 並監控 API 異常行為

3.組織與監控層

• 使用 EDR 工具監控 Discord 快取路徑讀寫行為

• 建立 Honey Token 系統誘捕並追蹤外洩行為

唯有多層保護與持續的行為檢測才能有效遏止此類攻擊持續擴散。

#Discord資安#TokenStealing#Session劫持#社交平台滲透#惡意程式行為分析#資安攻擊手法#剪貼簿監控#EDR繞過技術