Uygulama güvenliği şirketi Jscrambler'deki araştırmacılar az önce bir eğitici öykü tedarik zinciri saldırıları hakkında…
…bu aynı zamanda saldırı zincirlerinin ne kadar uzun olabileceğinin güçlü bir hatırlatıcısıdır.
Ne yazık ki, bu sadece açısından uzun zaman, teknik karmaşıklık veya zincirin kendisindeki bağlantı sayısı açısından uzun değil.
Sekiz sene önce…
Araştırmacılar tarafından yayınlanan hikayenin üst düzey versiyonu basitçe anlatılıyor ve şöyle devam ediyor:
- 2010'ların başında, Cockpit adlı bir web analitiği şirketi, ücretsiz bir web pazarlama ve analitik hizmeti sundu. Çok sayıda e-ticaret sitesi, bu hizmeti Cockpit'in sunucularından JavaScript kodu alarak ve böylece üçüncü taraf kodunu kendi web sayfalarına güvenilir içerik olarak dahil ederek kullandı.
- Aralık 2014'te Kokpit hizmetini kapattı. Kullanıcılar, hizmetin çevrimdışı olacağı ve Cockpit'ten içe aktardıkları herhangi bir JavaScript kodunun çalışmayı durduracağı konusunda uyarıldı.
- Kasım 2021'de siber suçlular, Cockpit'in eski alan adını satın aldı. Şaşkınlık ve zevk karışımı olduğunu ancak varsayabileceğimiz bir şekilde, dolandırıcılar görünüşe göre en az 40 e-ticaret sitesinin web sayfalarını Cockpit'e herhangi bir bağlantıyı kaldıracak şekilde güncellemediğini ve hala evi arayıp herhangi bir JavaScript'i kabul ettiğini keşfetti. sunulan kod.
Bu hikayenin nereye gittiğini görebilirsiniz.
Görünüşe göre 2014'ün sonlarından beri günlüklerini düzgün bir şekilde (hatta belki de hiç) kontrol etmeyen talihsiz eski Kokpit kullanıcıları, hala çalışmayan kodu yüklemeye çalıştıklarını fark edemediler.
Bu işletmelerin Cockpit'ten daha fazla analitik verisi almadıklarını fark ettiklerini, ancak veri akışının çalışmayı durdurmasını bekledikleri için verilerin sonunun siber güvenlik endişelerinin sonu olduğunu varsaydıklarını tahmin ediyoruz. hizmete ve etki alanı adına.
Enjeksiyon ve gözetim
Jscrambler'a göre, feshedilmiş etki alanını devralan ve böylece, şimdi yeniden canlanan etki alanına hala güvenen ve onu kullanan herhangi bir web sayfasına kötü amaçlı yazılım eklemek için doğrudan bir yol elde eden dolandırıcılar...
…tam olarak bunu yapmaya başladı, çok çeşitli e-ticaret sitelerine yetkisiz, kötü amaçlı JavaScript enjekte etti.
Bu, iki ana saldırı türünü mümkün kıldı:
- Önceden belirlenmiş web sayfalarındaki giriş alanlarının içeriğini izlemek için JavaScript kodunu ekleyin. Veri girişi
input,selectvetextareaalanlar (tipik bir web formunda beklediğiniz gibi) çıkarıldı, kodlandı ve saldırganlar tarafından işletilen bir dizi "eve çağrı" sunucusuna sızdı. - Seçilen web sayfalarındaki web formlarına ek alanlar ekleyin. olarak bilinen bu hile HTML enjeksiyonu, dolandırıcıların, kullanıcıların zaten güvendiği sayfaları bozabileceği anlamına gelir. Kullanıcılar, şifreler, doğum günleri, telefon numaraları veya ödeme kartı bilgileri gibi bu sayfaların normalde istemeyeceği kişisel verileri girmeye ikna edilebilir.
Dolandırıcılar, ellerinde bulunan bu çift saldırı vektörüyle, güvenliği ihlal edilmiş bir web sayfasındaki bir web formuna yazdığınız her şeyi sifonlamakla kalmaz, aynı zamanda normalde alamayacakları ek kişisel olarak tanımlanabilir bilgilerin (PII) peşine düşerler. hırsızlık yapmak.
Dolandırıcılar, ilk etapta kodu isteyen sunucunun kimliğine göre hangi JavaScript kodunun sunulacağına karar vererek, kötü amaçlı yazılımlarını farklı e-ticaret sitelerine farklı şekillerde saldıracak şekilde uyarlayabildiler.
Buna bakarak uygulanması kolay olan bu tür bir uyarlanmış yanıt, Referer: tarayıcınız tarafından oluşturulan HTTP isteklerinde gönderilen başlık, siber güvenlik araştırmacılarının suçluların kollarındaki tüm saldırı "yüklerini" belirlemesini de zorlaştırır.
Ne de olsa, dolandırıcıların sunucularında aradıkları sunucuların ve URL'lerin tam listesini önceden bilmiyorsanız, suçluların programladığı saldırının olası tüm varyantlarını sallayan HTTP istekleri oluşturamazsınız. sisteme.
Merak ediyorsanız, Referer: İngilizce "referrer" kelimesinin yanlış yazılmış hali olan header, adını orijinal internetteki bir yazım hatasından alıyor. standartlar belge.
Ne yapalım?
- Web tabanlı tedarik zinciri bağlantılarınızı gözden geçirin. Kendinizinmiş gibi sunduğunuz veriler veya kodlar için başka kişiler tarafından sağlanan URL'lere güvendiğiniz her yerde, onlara hâlâ güvenip güvenemeyeceğinizi düzenli olarak ve sık sık kontrol etmeniz gerekir. Kendi müşterilerinizin "bir şeyler bozuk görünüyor" diye şikayet etmesini beklemeyin. İlk olarak, bu tamamen reaktif siber güvenlik önlemlerine güvendiğiniz anlamına gelir. İkinci olarak, müşterilerin kendilerinin fark edip bildirebileceği açık bir şey olmayabilir.
- Günlüklerinizi kontrol edin. Kendi web siteniz artık çalışmayan katıştırılmış HTTP bağlantılarını kullanıyorsa, bir şeyler açıkça yanlıştır. Ya o bağlantıya daha önce güvenmemeliydin çünkü yanlış bağlantıydı ya da artık güvenmemelisin çünkü eskisi gibi davranmıyor. Günlüklerinizi kontrol etmeyecekseniz, neden en başta onları toplama zahmetine giresiniz?
- Test işlemlerini düzenli olarak gerçekleştirin. Müşterilerinizin takip etmesini beklediğiniz aynı çevrimiçi işlem sıralarından geçen ve gelen ve giden tüm istekleri yakından takip eden düzenli ve sık test prosedürünü sürdürün. Bu, beklenmeyen indirmeleri (ör. test tarayıcınızın bilinmeyen JavaScript'i emmesi) ve beklenmeyen yüklemeleri (ör. test tarayıcısından olağandışı hedeflere sızan veriler) tespit etmenize yardımcı olacaktır.
Hala JavaScript'i sekiz yıl önce kullanımdan kaldırılmış bir sunucudan alıyorsanız, özellikle de onu PII veya ödeme verilerini işleyen bir hizmette kullanıyorsanız, çözümün değil, sorunun parçasısınız …
… yani, lütfen o kişi olmayın!
Sophos müşterileri için not. JavaScript enjeksiyonu için burada kullanılan "canlandırılmış" web alanı (web-cockpit DOT jp, kendi günlüklerinizi aramak istiyorsanız) Sophos tarafından şu şekilde engellenir: PROD_SPYWARE_AND_MALWARE ve SEC_MALWARE_REPOSITORY. Bu, etki alanının yalnızca kötü amaçlı yazılımla ilgili siber suçla ilişkili olduğunun bilinmediğini, aynı zamanda kötü amaçlı yazılım kodunu aktif olarak sunmaya dahil olduğunu gösterir.
- blockchain
- Pilot kabini
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- e-ticaret
- güvenlik duvarı
- HTML enjeksiyonu
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- gizlilik
- kaymağını alma
- VPN
- web sitesi güvenliği
- zefirnet
