Naukowcy z firmy zajmującej się bezpieczeństwem aplikacji Jscrambler właśnie opublikowali raport Przestroga o atakach na łańcuch dostaw…
…to także potężne przypomnienie, jak długie mogą być łańcuchy ataków.
Niestety, to długo tylko pod względem czas, niezbyt długie pod względem złożoności technicznej lub liczby ogniw w samym łańcuchu.
Osiem lat temu…
Wysokopoziomowa wersja historii opublikowana przez naukowców jest po prostu opowiedziana i wygląda tak:
- Na początku 2010 roku firma zajmująca się analityką internetową o nazwie Cockpit oferowała bezpłatną usługę marketingu internetowego i analizy. Wiele witryn handlu elektronicznego korzystało z tej usługi, pozyskując kod JavaScript z serwerów Cockpit, włączając w ten sposób kod strony trzeciej do swoich własnych stron internetowych jako zaufaną treść.
- W grudniu 2014 Cockpit zakończył swoją usługę. Użytkownicy zostali ostrzeżeni, że usługa przejdzie w tryb offline, a każdy kod JavaScript, który zaimportowali z Kokpitu, przestanie działać.
- W listopadzie 2021 r. cyberprzestępcy wykupili starą nazwę domeny Cockpit. Możemy tylko przypuszczać, że było to połączenie zaskoczenia i zachwytu, oszuści najwyraźniej odkryli, że co najmniej 40 witryn handlu elektronicznego wciąż nie zaktualizowało swoich stron internetowych w celu usunięcia jakichkolwiek linków do Kokpitu i nadal dzwoni do domu i akceptuje kod JavaScript kod, który był w ofercie.
Widać dokąd zmierza ta historia.
Żaden nieszczęsny były użytkownik Kokpitu, który najwyraźniej nie sprawdzał poprawnie swoich dzienników (a może nawet w ogóle) od końca 2014 roku, nie zauważył, że nadal próbują załadować kod, który nie działa.
Domyślamy się, że te firmy zauważyły, że nie otrzymują więcej danych analitycznych z Cockpit, ale ponieważ spodziewały się, że źródło danych przestanie działać, założyły, że koniec danych oznaczał koniec ich obaw związanych z bezpieczeństwem cybernetycznym do usługi i jej nazwy domeny.
Zastrzyk i obserwacja
Według Jscramblera oszuści, którzy przejęli nieistniejącą domenę i którzy w ten sposób zdobyli bezpośrednią drogę do umieszczania złośliwego oprogramowania na wszelkich stronach internetowych, które nadal ufały i korzystały z tej odrodzonej domeny…
…zaczęli dokładnie to robić, wstrzykując nieautoryzowany, złośliwy kod JavaScript do wielu witryn e-commerce.
Umożliwiło to dwa główne rodzaje ataków:
- Wstaw kod JavaScript, aby monitorować zawartość pól wejściowych na określonych stronach internetowych. Dane w
input,selectitextareapól (takich, jakich można się spodziewać w typowym formularzu internetowym) zostało wyodrębnionych, zakodowanych i przeniesionych do szeregu serwerów „zadzwoń do domu” obsługiwanych przez osoby atakujące. - Wstaw dodatkowe pola do formularzy internetowych na wybranych stronach internetowych. Ta sztuczka, znana jako Wstrzyknięcie HTML, oznacza, że oszuści mogą podważać strony, którym użytkownicy już ufają. Użytkowników można wiarygodnie nakłonić do wprowadzenia danych osobowych, o które strony te normalnie by nie prosiły, takich jak hasła, daty urodzin, numery telefonów lub dane kart płatniczych.
Dysponując tą parą wektorów ataku, oszuści mogą nie tylko wyssać wszystko, co wpisałeś w formularzu internetowym na zainfekowanej stronie internetowej, ale także zdobyć dodatkowe informacje umożliwiające identyfikację, których normalnie nie byliby w stanie kraść.
Decydując, który kod JavaScript ma zostać wyświetlony, w oparciu o tożsamość serwera, który najpierw zażądał kodu, oszuści byli w stanie dostosować swoje złośliwe oprogramowanie do atakowania różnych typów witryn handlu elektronicznego na różne sposoby.
Ten rodzaj dostosowanej odpowiedzi, którą można łatwo wdrożyć, patrząc na Referer: nagłówek wysyłany w żądaniach HTTP generowanych przez Twoją przeglądarkę, utrudnia również osobom zajmującym się cyberbezpieczeństwem określenie pełnego zakresu „ładunków” ataku, które przestępcy mają w zanadrzu.
W końcu, jeśli nie znasz z góry dokładnej listy serwerów i adresów URL, których oszuści szukają na swoich serwerach, nie będziesz w stanie wygenerować żądań HTTP, które ujawnią wszystkie prawdopodobne warianty ataku zaprogramowanego przez przestępców do systemu.
Jeśli się zastanawiasz, tzw Referer: nagłówek, który jest błędną pisownią angielskiego słowa „referrer”, bierze swoją nazwę od błędu typograficznego w oryginalnym Internecie standardy dokument.
Co robić?
- Przejrzyj swoje internetowe powiązania łańcucha dostaw. Wszędzie tam, gdzie polegasz na adresach URL dostarczonych przez inne osoby w przypadku danych lub kodu, które udostępniasz tak, jakby były to Twoje własne, musisz regularnie i często sprawdzać, czy nadal możesz im ufać. Nie czekaj, aż Twoi klienci będą narzekać, że „coś wygląda na zepsute”. Po pierwsze, oznacza to, że całkowicie polegasz na reaktywnych środkach bezpieczeństwa cybernetycznego. Po drugie, może nie być niczego oczywistego, co klienci mogliby zauważyć i zgłosić.
- Sprawdź swoje dzienniki. Jeśli Twoja witryna korzysta z osadzonych linków HTTP, które już nie działają, oznacza to, że coś jest nie tak. Albo nie powinieneś ufać temu linkowi wcześniej, ponieważ był niewłaściwy, albo nie powinieneś już ufać temu linkowi, ponieważ nie zachowuje się tak, jak kiedyś. Jeśli nie zamierzasz sprawdzać swoich dzienników, po co w ogóle zawracać sobie głowę ich zbieraniem?
- Regularnie przeprowadzaj transakcje testowe. Utrzymuj regularną i częstą procedurę testową, która realistycznie obejmuje te same sekwencje transakcji online, których oczekujesz od swoich klientów, i dokładnie śledź wszystkie przychodzące i wychodzące żądania. Pomoże to wykryć nieoczekiwane pobrania (np. przeglądarka testowa pobiera nieznany kod JavaScript) i nieoczekiwane przesłania (np. eksfiltracja danych z przeglądarki testowej do nietypowych miejsc docelowych).
Jeśli nadal pozyskujesz JavaScript z serwera, który został wycofany osiem lat temu, zwłaszcza jeśli używasz go w usłudze obsługującej dane osobowe lub dane dotyczące płatności, nie jesteś częścią rozwiązania, jesteś częścią problemu …
…więc proszę, nie bądź tą osobą!
Uwaga dla klientów Sophos. „Zrewitalizowana” domena internetowa użyta tutaj do wstrzyknięcia JavaScript (web-cockpit DOT jp, jeśli chcesz przeszukać własne dzienniki) jest blokowany przez Sophos as PROD_SPYWARE_AND_MALWARE i SEC_MALWARE_REPOSITORY. Oznacza to, że wiadomo, że domena nie tylko jest powiązana z cyberprzestępczością związaną ze złośliwym oprogramowaniem, ale także jest zaangażowana w aktywne udostępnianie kodu złośliwego oprogramowania.
- blockchain
- Kabina pilota
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Utrata danych
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- e-commerce
- zapora
- Wstrzyknięcie HTML
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- prywatność
- szumowanie
- VPN
- zabezpieczenia stron internetowych
- zefirnet
![S3 Ep100: Browser-in-the-Browser – jak wykryć atak [Audio + Text] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep100-js-1200-2-300x156.png "S3 Odc100: Przeglądarka w przeglądarce – jak rozpoznać atak [Audio + Text]")
![S3 Odp102.5: Błędy Exchange „ProxyNotShell” – ekspert mówi [Audio + Tekst] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: Błędy wymiany „ProxyNotShell” – mówi ekspert [Audio + Text]")
