Sovellusturvayrityksen Jscramblerin tutkijat ovat juuri julkaisseet a varoittava tarina toimitusketjun hyökkäyksistä...
…se on myös voimakas muistutus siitä, kuinka pitkiä hyökkäysketjut voivat olla.
Valitettavasti se on pitkä vain suhteessa aika, ei pitkä teknisen monimutkaisuuden tai itse ketjun lenkkien lukumäärän kannalta.
Kahdeksan vuotta sitten…
Tutkijoiden julkaisema korkean tason versio tarinasta kerrotaan yksinkertaisesti, ja se menee näin:
- 2010-luvun alussa verkkoanalytiikkayritys Cockpit tarjosi ilmaisen verkkomarkkinointi- ja analytiikkapalvelun. Lukuisat verkkokauppasivustot käyttivät tätä palvelua hankkimalla JavaScript-koodia Cockpitin palvelimilta ja sisällyttäen siten kolmannen osapuolen koodin omille verkkosivuilleen luotettuna sisältönä.
- Joulukuussa 2014 Cockpit sulki palvelunsa. Käyttäjiä varoitettiin, että palvelu siirtyy offline-tilaan ja että heidän Cockpitista tuomansa JavaScript-koodi lakkaa toimimasta.
- Marraskuussa 2021 kyberrikolliset ostivat Cockpitin vanhan verkkotunnuksen. Voimme vain olettaa, että se oli sekoitus yllätystä ja iloa, mutta huijarit ilmeisesti havaitsivat, että ainakin 40 verkkokauppasivustoa ei ollut vieläkään päivittänyt verkkosivujaan poistaakseen linkkejä Cockpitiin, vaan soittivat edelleen kotiin ja hyväksyivät kaikki JavaScript-koodit. koodi, joka oli tarjouksessa.
Saa nähdä mihin tämä tarina on menossa.
Kaikki onnelliset entiset Cockpit-käyttäjät, jotka eivät ilmeisesti olleet tarkistaneet lokejaan kunnolla (tai kenties ollenkaan) vuoden 2014 lopun jälkeen, eivät huomanneet, että he yrittivät edelleen ladata koodia, joka ei toiminut.
Oletamme, että nämä yritykset huomasivat, etteivät he saaneet enää analytiikkatietoja Cockpitista, mutta koska he odottivat tietosyötteen lakkaa toimimasta, he olettivat, että tietojen loppuminen oli heidän kyberturvallisuushuoliensa loppu. palveluun ja sen verkkotunnukseen.
Injektio ja valvonta
Jscramblerin mukaan roistot, jotka ottivat haltuunsa lakkautetun verkkotunnuksen ja saivat siten suoran reitin lisätä haittaohjelmia mille tahansa verkkosivulle, joka edelleen luotti ja käytti tätä nyt elvytettyä verkkotunnusta…
…alkoi tehdä juuri niin, ruiskuttamalla luvatonta, haitallista JavaScriptiä moniin verkkokauppasivustoihin.
Tämä mahdollisti kaksi suurta hyökkäystyyppiä:
- Lisää JavaScript-koodi valvoaksesi syöttökenttien sisältöä ennalta määrätyillä verkkosivuilla. Data sisään
input,selectjatextareakentät (kuten tyypillisessä verkkolomakkeessa voi odottaa) purettiin, koodattiin ja suodatettiin useille hyökkääjien ylläpitämille "soita kotiin" -palvelimille. - Lisää lisäkenttiä valittujen verkkosivujen verkkolomakkeisiin. Tämä temppu, joka tunnetaan nimellä HTML -injektio, tarkoittaa, että roistot voivat horjuttaa sivuja, joihin käyttäjät jo luottavat. Käyttäjät voidaan uskottavasti houkutella syöttämään henkilökohtaisia tietoja, joita kyseiset sivut eivät normaalisti pyytäisi, kuten salasanoja, syntymäpäiviä, puhelinnumeroita tai maksukorttitietoja.
Tämän hyökkäysvektoriparin avulla roistot eivät vain pystyneet poistamaan mitä tahansa, mitä kirjoitit Web-lomakkeelle vaarantuneella verkkosivulla, vaan myös etsiä muita henkilökohtaisia tunnistetietoja (PII), joita he eivät normaalisti pystyisi varastaa.
Päättäessään, mitä JavaScript-koodia tarjotaan koodia alun perin pyytäneen palvelimen identiteetin perusteella, huijarit pystyivät räätälöimään haittaohjelmansa hyökkäämään erityyppisiä verkkokauppasivustoja vastaan eri tavoin.
Tällainen räätälöity vastaus, joka on helppo toteuttaa katsomalla Referer: Selaimen luomien HTTP-pyyntöjen lähettämä otsikko tekee myös kyberturvallisuuden tutkijoiden vaikeaksi määrittää rikollisten hihoissaan olevan hyökkäyksen "hyötykuorman".
Loppujen lopuksi, ellet tiedä etukäteen tarkkaa luetteloa palvelimista ja URL-osoitteista, joita huijarit etsivät palvelimillaan, et voi luoda HTTP-pyyntöjä, jotka horjuttavat kaikki rikollisten ohjelmoimat hyökkäyksen mahdolliset versiot. järjestelmään.
Jos mietit, Referer: otsikko, joka on englanninkielisen sanan "referrer" kirjoitusvirhe, on saanut nimensä alkuperäisen Internetin kirjoitusvirheestä standardit asiakirja.
Mitä tehdä?
- Tarkista verkkopohjaiset toimitusketjusi linkit. Kaikkialla, missä luotat muiden ihmisten antamiin URL-osoitteisiin datan tai koodin osalta, jota tarjoat ikään kuin omaasi, sinun on tarkistettava säännöllisesti ja usein, että voit silti luottaa niihin. Älä odota, että omat asiakkaasi valittavat, että "jotain näyttää rikki". Ensinnäkin se tarkoittaa, että luotat täysin reaktiivisiin kyberturvallisuustoimenpiteisiin. Toiseksi, asiakkaalle ei välttämättä ole itsestään selvää, mitä se voisi huomata ja raportoida.
- Tarkista lokit. Jos oma verkkosivustosi käyttää upotettuja HTTP-linkkejä, jotka eivät enää toimi, jokin on selvästi vialla. Joko sinun ei olisi pitänyt luottaa tähän linkkiin aiemmin, koska se oli väärä, tai sinun ei pitäisi luottaa siihen enää, koska se ei toimi kuten ennen. Jos et aio tarkistaa lokejasi, miksi vaivautua keräämään niitä?
- Suorita testitapahtumat säännöllisesti. Ylläpidä säännöllistä ja toistuvaa testimenettelyä, joka käy realistisesti läpi samat verkkotapahtumasarjat, joita odotat asiakkaidesi noudattavan, ja seuraa tarkasti kaikkia saapuvia ja lähteviä pyyntöjä. Tämä auttaa sinua havaitsemaan odottamattomat lataukset (esim. testiselaimesi, joka imee tuntematonta JavaScriptiä) ja odottamattomia latauksia (esim. dataa suodatetaan testiselaimesta epätavallisiin kohteisiin).
Jos hankit edelleen JavaScriptiä palvelimelta, joka poistettiin käytöstä kahdeksan vuotta sitten, varsinkin jos käytät sitä palvelussa, joka käsittelee henkilökohtaisia tunnistetietoja tai maksutietoja, et ole osa ratkaisua, olet osa ongelmaa …
… joten älä ole se henkilö!
Huomautus Sophos-asiakkaille. "Elvytetty" verkkotunnus, jota käytetään tässä JavaScriptin lisäämiseen (web-cockpit DOT jp, jos haluat etsiä omia lokiasi) on estänyt Sophos as PROD_SPYWARE_AND_MALWARE ja SEC_MALWARE_REPOSITORY. Tämä tarkoittaa, että verkkotunnuksen tiedetään liittyvän haittaohjelmiin liittyvään kyberrikollisuuteen, mutta se myös osallistuu aktiivisesti haittaohjelmakoodin tarjoamiseen.
- blockchain
- Ohjaamo
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- verkkokaupan
- palomuuri
- HTML -injektio
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- yksityisyys
- kahlannut
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
