Các nhà nghiên cứu tại công ty bảo mật ứng dụng Jscrambler vừa công bố một câu chuyện cảnh báo về các cuộc tấn công chuỗi cung ứng…
…đó cũng là một lời nhắc nhở mạnh mẽ về việc chuỗi tấn công có thể kéo dài bao lâu.
Đáng buồn thay, đó là dài chỉ đơn thuần về mặt thời gian, không lâu về độ phức tạp kỹ thuật hoặc số lượng mắt xích trong chính chuỗi.
Tám năm trước…
Phiên bản cấp cao của câu chuyện do các nhà nghiên cứu xuất bản được kể một cách đơn giản và nó diễn ra như sau:
- Vào đầu những năm 2010, một công ty phân tích trang web có tên Cockpit đã cung cấp dịch vụ phân tích và tiếp thị trang web miễn phí. Nhiều trang web thương mại điện tử đã sử dụng dịch vụ này bằng cách tìm nguồn mã JavaScript từ các máy chủ của Cockpit, do đó kết hợp mã của bên thứ ba vào các trang web của riêng họ dưới dạng nội dung đáng tin cậy.
- Vào tháng 2014 năm XNUMX, Cockpit ngừng dịch vụ. Người dùng đã được cảnh báo rằng dịch vụ sẽ ngoại tuyến và bất kỳ mã JavaScript nào họ nhập từ Cockpit sẽ ngừng hoạt động.
- Vào tháng 2021 năm XNUMX, tội phạm mạng đã mua lại tên miền cũ của Cockpit. Trước những gì chúng ta chỉ có thể cho là vừa ngạc nhiên vừa thích thú, những kẻ lừa đảo rõ ràng đã phát hiện ra rằng ít nhất 40 trang web thương mại điện tử vẫn chưa cập nhật trang web của họ để xóa bất kỳ liên kết nào đến Cockpit và vẫn đang gọi điện về nhà và chấp nhận bất kỳ JavaScript nào mã đã được cung cấp.
Bạn có thể thấy câu chuyện này sẽ đi đến đâu.
Bất kỳ người dùng Cockpit trước đây không may mắn nào dường như đã không kiểm tra nhật ký của họ đúng cách (hoặc thậm chí có thể không kiểm tra) kể từ cuối năm 2014 đều không nhận thấy rằng họ vẫn đang cố tải mã không hoạt động.
Chúng tôi đoán rằng những doanh nghiệp đó đã nhận thấy rằng họ không nhận được thêm bất kỳ dữ liệu phân tích nào từ Cockpit, nhưng vì họ cho rằng nguồn cấp dữ liệu sẽ ngừng hoạt động nên họ cho rằng hết dữ liệu là hết mối lo ngại về an ninh mạng liên quan dịch vụ và tên miền của nó.
Tiêm và giám sát
Theo Jscrambler, những kẻ lừa đảo đã chiếm đoạt miền không còn tồn tại và do đó đã có được một tuyến đường trực tiếp để chèn phần mềm độc hại vào bất kỳ trang web nào vẫn tin cậy và sử dụng miền hiện đã được hồi sinh đó…
…bắt đầu làm chính xác điều đó, đưa JavaScript độc hại, trái phép vào một loạt các trang web thương mại điện tử.
Điều này cho phép hai loại tấn công chính:
- Chèn mã JavaScript để theo dõi nội dung của các trường đầu vào trên các trang web được xác định trước. Dữ liệu trong
input,selectvàtextareacác trường (chẳng hạn như bạn mong đợi trong một biểu mẫu web điển hình) đã được trích xuất, mã hóa và lọc ra một loạt các máy chủ “gọi về nhà” do những kẻ tấn công điều hành. - Chèn các trường bổ sung vào biểu mẫu web trên các trang web đã chọn. Thủ thuật này, được gọi là Chèn HTML, có nghĩa là kẻ gian có thể phá hoại các trang mà người dùng đã tin tưởng. Người dùng có thể bị dụ nhập dữ liệu cá nhân mà những trang đó thường không yêu cầu, chẳng hạn như mật khẩu, ngày sinh, số điện thoại hoặc chi tiết thẻ thanh toán.
Với cặp vectơ tấn công này theo ý của chúng, những kẻ lừa đảo không chỉ có thể bòn rút bất cứ thứ gì bạn đã nhập vào một biểu mẫu web trên một trang web bị xâm nhập mà còn theo dõi thông tin nhận dạng cá nhân bổ sung (PII) mà chúng thường không thể lấy được. ăn cắp.
Bằng cách quyết định sẽ phân phát mã JavaScript nào dựa trên danh tính của máy chủ đã yêu cầu mã này ngay từ đầu, những kẻ lừa đảo có thể điều chỉnh phần mềm độc hại của chúng để tấn công các loại trang web thương mại điện tử khác nhau theo những cách khác nhau.
Đây là loại phản hồi phù hợp, dễ thực hiện bằng cách nhìn vào Referer: tiêu đề được gửi trong các yêu cầu HTTP do trình duyệt của bạn tạo ra, cũng khiến các nhà nghiên cứu an ninh mạng khó xác định toàn bộ phạm vi “tải trọng” tấn công mà bọn tội phạm đã chuẩn bị sẵn.
Rốt cuộc, trừ khi bạn biết trước danh sách chính xác các máy chủ và URL mà kẻ gian đang tìm kiếm trên máy chủ của chúng, bạn sẽ không thể tạo các yêu cầu HTTP để loại bỏ tất cả các biến thể có khả năng xảy ra của cuộc tấn công mà bọn tội phạm đã lập trình vào hệ thống.
Trong trường hợp bạn đang tự hỏi, Referer: tiêu đề, là cách viết sai chính tả của từ tiếng Anh “người giới thiệu”, lấy tên từ một lỗi đánh máy trong internet gốc tiêu chuẩn tài liệu.
Phải làm gì?
- Xem lại các liên kết chuỗi cung ứng dựa trên trang web của bạn. Bất cứ nơi nào bạn dựa vào các URL do người khác cung cấp cho dữ liệu hoặc mã mà bạn cung cấp như thể đó là của riêng bạn, bạn cần kiểm tra thường xuyên và thường xuyên để đảm bảo rằng bạn vẫn có thể tin tưởng họ. Đừng đợi khách hàng của bạn phàn nàn rằng “có cái gì đó bị hỏng”. Thứ nhất, điều đó có nghĩa là bạn đang hoàn toàn dựa vào các biện pháp an ninh mạng phản ứng. Thứ hai, có thể không có bất cứ điều gì rõ ràng để chính khách hàng nhận thấy và báo cáo.
- Kiểm tra nhật ký của bạn. Nếu trang web của riêng bạn sử dụng các liên kết HTTP nhúng không còn hoạt động nữa thì rõ ràng có điều gì đó không ổn. Hoặc là bạn không nên tin vào liên kết đó trước đây, vì đó là liên kết sai, hoặc bạn không nên tin vào nó nữa, vì nó không hoạt động như trước đây. Nếu bạn không định kiểm tra nhật ký của mình, tại sao phải thu thập chúng ngay từ đầu?
- Thực hiện các giao dịch thử nghiệm thường xuyên. Duy trì quy trình kiểm tra thường xuyên và thường xuyên thực hiện theo cùng một trình tự giao dịch trực tuyến mà bạn mong muốn khách hàng của mình tuân theo, đồng thời theo dõi chặt chẽ tất cả các yêu cầu đến và đi. Điều này sẽ giúp bạn phát hiện các lượt tải xuống không mong muốn (ví dụ: trình duyệt thử nghiệm của bạn sử dụng JavaScript không xác định) và các lượt tải lên không mong muốn (ví dụ: dữ liệu được lấy từ trình duyệt thử nghiệm sang các đích đến bất thường).
Nếu bạn vẫn đang tìm nguồn JavaScript từ một máy chủ đã ngừng hoạt động tám năm trước, đặc biệt nếu bạn đang sử dụng nó trong một dịch vụ xử lý PII hoặc dữ liệu thanh toán, thì bạn không phải là một phần của giải pháp, mà là một phần của vấn đề …
…vì vậy, làm ơn, đừng là người đó!
Lưu ý dành cho khách hàng của Sophos. Miền web "được hồi sinh" được sử dụng ở đây để tiêm JavaScript (web-cockpit DOT jp, nếu bạn muốn tìm kiếm nhật ký của chính mình) bị chặn bởi Sophos vì PROD_SPYWARE_AND_MALWARE và SEC_MALWARE_REPOSITORY. Điều này biểu thị rằng miền được biết là không chỉ có liên quan đến tội phạm mạng liên quan đến phần mềm độc hại mà còn liên quan đến việc tích cực cung cấp mã phần mềm độc hại.
- blockchain
- Buồng lái
- thiên tài
- ví tiền điện tử
- trao đổi tiền điện tử
- an ninh mạng
- tội phạm mạng
- An ninh mạng
- mất dữ liệu
- bộ phận an ninh quê hương
- ví kỹ thuật số
- thương mại điện tử
- tường lửa
- Chèn HTML
- Kaspersky
- phần mềm độc hại
- macfee
- An ninh trần trụi
- NexBLOC
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- riêng tư
- lướt qua
- VPN
- bảo mật website
- zephyrnet
