A Jscrambler alkalmazásbiztonsági cég kutatói most publikálták a figyelmeztető mese az ellátási lánc támadásairól…
…ez egyben erőteljes emlékeztető arra, hogy milyen hosszúak lehetnek a támadási láncok.
Sajnos ez már csak abból a szempontból is hosszú idő, nem hosszú a technikai bonyolultság vagy magának a láncnak a száma szempontjából.
Nyolc évvel ezelőtt…
A kutatók által közzétett történet magas szintű változatát egyszerűen elmondják, és ez így hangzik:
- A 2010-es évek elején a Cockpit nevű webelemző cég ingyenes webmarketing- és elemzési szolgáltatást kínált. Számos e-kereskedelmi webhely használta ezt a szolgáltatást úgy, hogy a Cockpit szervereiről szerezte be a JavaScript-kódot, így megbízható tartalomként beépítette harmadik féltől származó kódot saját weboldalaiba.
- 2014 decemberében a Cockpit leállította szolgáltatását. A felhasználókat figyelmeztették, hogy a szolgáltatás offline állapotba kerül, és a Cockpitből importált JavaScript-kódok leállnak.
- 2021 novemberében a kiberbűnözők felvásárolták a Cockpit régi domainnevét. Csak feltételezhetjük, hogy meglepetés és öröm keveréke volt, a szélhámosok nyilvánvalóan azt tapasztalták, hogy legalább 40 e-kereskedelmi webhely még mindig nem frissítette weboldalát a Cockpitre mutató hivatkozások eltávolítása érdekében, és továbbra is hazahívott, és bármilyen JavaScriptet elfogad. kód, ami a kínálatban volt.
Láthatod, merre tart ez a történet.
Azok a szerencsétlen volt Cockpit-felhasználók, akik 2014 vége óta láthatóan nem ellenőrizték megfelelően (vagy talán egyáltalán nem) a naplóikat, nem vették észre, hogy még mindig nem működő kódot próbálnak betölteni.
Feltételezzük, hogy ezek a vállalkozások észrevették, hogy nem kapnak több elemzési adatot a Cockpittől, de mivel arra számítottak, hogy az adatfolyam leáll, ezért azt feltételezték, hogy az adatok vége a kiberbiztonsági aggályaik végét jelenti. a szolgáltatáshoz és annak domain nevéhez.
Injekció és megfigyelés
Jscrambler szerint azok a szélhámosok, akik átvették a megszűnt tartományt, és így közvetlen útvonalat szereztek, hogy rosszindulatú programokat helyezzenek el minden olyan weboldalon, amely még mindig megbízott abban, és azt a most újjáéledt domaint használták…
…pontosan ezt kezdte el tenni, jogosulatlan, rosszindulatú JavaScriptet szúrt be az e-kereskedelmi webhelyek széles körébe.
Ez két fő támadástípust tett lehetővé:
- JavaScript kód beillesztése az előre meghatározott weboldalak beviteli mezőinek tartalmának figyeléséhez. Adatok be
input,selectés atextareamezőket (mint ahogy az egy tipikus webes űrlapon elvárható) kicsomagolták, kódolták és kiszivárogtatták a támadók által üzemeltetett számos „hazahívás” szerverre. - Szúrjon be további mezőket a webes űrlapokba a kiválasztott weboldalakon. Ez a trükk, az úgynevezett HTML injekció, azt jelenti, hogy a csalók felforgathatják azokat az oldalakat, amelyekben a felhasználók már megbíznak. A felhasználókat hihetően rávehetik olyan személyes adatok megadására, amelyeket az adott oldalak általában nem kérnek, például jelszavakat, születésnapokat, telefonszámokat vagy bankkártyaadatokat.
Ezzel a pár támadási vektorral a szélhámosok nem csak kiszipolyozhatták, amit egy feltört weboldal webes űrlapjába írt be, hanem olyan további személyazonosításra alkalmas adatok után is kutathattak, amelyeket normális esetben nem lennének képesek. lop.
Azáltal, hogy a kódot először kérő szerver identitása alapján eldöntötték, hogy melyik JavaScript-kódot szolgálják ki, a szélhámosok képesek voltak arra szabni a rosszindulatú programjaikat, hogy különböző módon támadják meg a különböző típusú e-kereskedelmi webhelyeket.
Ez a fajta személyre szabott válasz, amely könnyen megvalósítható, ha megnézi a Referer: A böngésző által generált HTTP-kérésekben küldött fejléc szintén megnehezíti a kiberbiztonsági kutatók számára, hogy meghatározzák a bűnözők kezében lévő támadások teljes skáláját.
Végtére is, hacsak nem ismeri előre a kiszolgálók és az URL-ek pontos listáját, amelyeket a szélhámosok keresnek a szervereiken, akkor nem tud olyan HTTP-kéréseket generálni, amelyek felszabadítják a bűnözők által programozott támadás minden lehetséges változatát. a rendszerbe.
Ha kíváncsi, a Referer: fejléc, amely az angol „referrer” szó hibás elírása, a nevét az eredeti interneten található tipográfiai hibából kapta. szabványok dokumentumot.
Mit kell tenni?
- Tekintse át a webalapú ellátási lánc linkjeit. Bárhol, ahol mások által megadott URL-ekre támaszkodik az adatok vagy kódok tekintetében, amelyeket úgy jelenít meg, mintha a sajátja lenne, rendszeresen és gyakran ellenőriznie kell, hogy továbbra is megbízhat-e bennük. Ne várja meg, hogy saját ügyfelei panaszkodjanak, hogy „valami elromlott”. Először is ez azt jelenti, hogy teljes mértékben a reaktív kiberbiztonsági intézkedésekre támaszkodik. Másodszor, lehet, hogy az ügyfelek maguk számára nem feltétlenül észrevehetőek és jelentenivalók.
- Ellenőrizze a naplókat. Ha saját webhelye beágyazott HTTP-hivatkozásokat használ, amelyek már nem működnek, akkor valami egyértelműen nincs rendben. Vagy nem kellett volna korábban bízni abban a linkben, mert rossz volt, vagy nem szabad többé bízni benne, mert nem úgy viselkedik, mint régen. Ha nem akarod ellenőrizni a naplóidat, miért foglalkozol azzal, hogy összegyűjtöd őket?
- Rendszeresen végezzen teszttranzakciókat. Fenntartson egy rendszeres és gyakori tesztelési eljárást, amely reálisan ugyanazon az online tranzakciós szekvencián megy keresztül, amelyeket elvár az ügyfelektől, és szorosan kövesse nyomon az összes bejövő és kimenő kérést. Ez segít észlelni a váratlan letöltéseket (pl. a tesztböngésző ismeretlen JavaScriptet szív be) és a váratlan feltöltéseket (pl. a tesztböngészőből az adatok szokatlan célhelyekre szivárognak ki).
Ha továbbra is egy nyolc éve megszűnt kiszolgálóról szerzi be a JavaScriptet, különösen, ha olyan szolgáltatásban használja, amely személyazonosításra alkalmas adatokat vagy fizetési adatokat kezel, akkor nem a megoldás része, hanem a probléma része. …
… szóval, kérlek, ne légy az a személy!
Megjegyzés a Sophos ügyfeleinek. Az itt használt „újjáélesztett” webdomain a JavaScript-injektáláshoz (web-cockpit DOT jp, ha saját naplóiban szeretne keresni) a Sophos mint blokkolja PROD_SPYWARE_AND_MALWARE és a SEC_MALWARE_REPOSITORY. Ez azt jelzi, hogy a domainről ismert, hogy nemcsak rosszindulatú programokkal kapcsolatos kiberbűnözéshez kapcsolódik, hanem arról is, hogy részt vesz a rosszindulatú programkódok aktív kiszolgálásában.
- blockchain
- Pilótafülke
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- adatvesztés
- belbiztonsági osztály
- digitális pénztárcák
- e-commerce
- tűzfal
- HTML injekció
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- magánélet
- kopasztás
- VPN
- A honlap biztonsága
- zephyrnet
