アプリケーション セキュリティ企業 Jscrambler の研究者が、 注意書き サプライチェーン攻撃について…
…これはまた、攻撃チェーンがどれだけ長くなる可能性があるかを強力に思い出させてくれます。
悲しいことに、それは単に 時間、技術的な複雑さやチェーン自体のリンク数の点で長くはありません。
XNUMX年前…
研究者によって発表されたストーリーのハイレベルバージョンは、単純に語られたもので、次のようになります。
- 2010 年代初頭、Cockpit という Web 分析会社が無料の Web マーケティングおよび分析サービスを提供していました。 多くの電子商取引サイトは、Cockpit のサーバーから JavaScript コードを取得することでこのサービスを使用し、サードパーティのコードを信頼できるコンテンツとして独自の Web ページに組み込みました。
- 2014 年 XNUMX 月、コックピットはサービスを終了しました。 ユーザーは、サービスがオフラインになり、Cockpit からインポートした JavaScript コードが機能しなくなることを警告されました。
- 2021 年 XNUMX 月、サイバー犯罪者が Cockpit の古いドメイン名を買収しました。 驚きと喜びが混ざり合っているとしか思えませんが、詐欺師たちは、少なくとも 40 の e コマース サイトがまだ Web ページを更新して Cockpit へのリンクを削除しておらず、依然としてホームに電話をかけ、JavaScript を受け入れていることを発見したようです。提供されていたコード。
この物語がどこへ向かうのかがわかります。
2014 年後半以降、ログを適切にチェックしていなかった (あるいはまったくチェックしていなかった) 残念な以前の Cockpit ユーザーは、機能していないコードを読み込もうとしていることに気づきませんでした。
これらの企業は、Cockpit から分析データが得られなくなったことに気付いたのではないかと推測していますが、データ フィードが機能しなくなることを予想していたため、データの終わりは、関連するサイバーセキュリティの懸念の終わりであると想定していました。サービスとそのドメイン名に。
注射と監視
Jscrambler によると、消滅したドメインを乗っ取った詐欺師たちは、復活したドメインをまだ信頼して使用している Web ページにマルウェアを挿入するための直接的なルートを取得しました。
…まさにそれを実行し始め、許可されていない悪意のある JavaScript をさまざまな e コマース サイトに挿入しました。
これにより、次の XNUMX つの主要なタイプの攻撃が可能になりました。
- JavaScript コードを挿入して、所定の Web ページの入力フィールドの内容を監視します。 のデータ
input
,select
&textarea
フィールド (典型的な Web フォームで期待されるようなもの) が抽出され、エンコードされ、攻撃者が操作するさまざまな「コール ホーム」サーバーに盗み出されました。 - 選択した Web ページの Web フォームに追加のフィールドを挿入します。 として知られているこのトリック HTMLインジェクション、詐欺師はユーザーがすでに信頼しているページを破壊できることを意味します。 ユーザーは、パスワード、誕生日、電話番号、支払いカードの詳細など、これらのページでは通常求められないような個人データを入力するよう誘惑される可能性があります。
この XNUMX つの攻撃ベクトルを自由に使えるようにすることで、詐欺師は侵害された Web ページの Web フォームに入力された内容を吸い上げるだけでなく、通常は不可能な追加の個人を特定できる情報 (PII) を追跡することができます。窃盗。
最初にコードを要求したサーバーの ID に基づいて提供する JavaScript コードを決定することで、攻撃者はマルウェアを調整して、さまざまな種類の e コマース サイトをさまざまな方法で攻撃することができました。
この種のカスタマイズされた応答は、 Referer:
ブラウザによって生成された HTTP リクエストで送信されるヘッダーは、サイバーセキュリティの調査担当者が、犯罪者が用意している攻撃の「ペイロード」の全範囲を特定することも困難にします。
結局のところ、攻撃者がサーバー上で探しているサーバーと URL の正確なリストを事前に把握していない限り、犯罪者がプログラムした可能性のある攻撃の亜種をすべて解き放つ HTTP リクエストを生成することはできません。システムに。
ご不明な点がございましたら、 Referer:
英語の単語「referrer」のスペルミスであるヘッダーは、元のインターネットのタイプミスからその名前が付けられました 規格 の資料をご参照ください。
何をするか?
- Web ベースのサプライ チェーン リンクを確認します。 あたかも自分のものであるかのように提供するデータまたはコードについて、他の人が提供した URL に依存している場合は、定期的かつ頻繁にそれらを信頼できるかどうかを確認する必要があります。 顧客が「何かが壊れているように見える」と文句を言うのを待ってはいけません。 まず、これは、受動的なサイバーセキュリティ対策に完全に依存していることを意味します. 第 XNUMX に、顧客自身が気づいて報告する明白な情報がない場合があります。
- ログを確認してください。 自分の Web サイトで、機能しなくなった埋め込み HTTP リンクを使用している場合は、明らかに何かが間違っています。 以前はそのリンクが間違っていたので信頼すべきではなかったか、以前のように動作していないため、もう信頼すべきではありません。 ログをチェックするつもりがないのなら、そもそもログを収集する必要はありません。
- 定期的にテスト取引を行います。 顧客が従うことを期待するのと同じオンライン トランザクション シーケンスを現実的に実行する定期的かつ頻繁なテスト手順を維持し、すべての受信および送信要求を綿密に追跡します。 これにより、予期しないダウンロード (テスト ブラウザーが未知の JavaScript を吸い込むなど) や予期しないアップロード (テスト ブラウザーから異常な宛先にデータが流出するなど) を見つけることができます。
XNUMX 年前に廃止されたサーバーからまだ JavaScript をソースしている場合、特に PII や支払いデータを処理するサービスで JavaScript を使用している場合は、ソリューションの一部ではなく、問題の一部です。 …
…だから、お願い、その人にならないで!
ソフォスのお客様への注意事項。 ここで JavaScript インジェクションに使用される「活性化された」Web ドメイン (web-cockpit DOT jp
、独自のログを検索する場合) は、ソフォスによって次のようにブロックされます。 PROD_SPYWARE_AND_MALWARE
& SEC_MALWARE_REPOSITORY
. これは、そのドメインがマルウェア関連のサイバー犯罪に関連しているだけでなく、マルウェア コードの積極的な配布にも関与していることで知られていることを示しています。