• JS特效 http://www.bjxfcs.com/js/
  • JS特效代碼也有可能導致信息泄露

    發布日期:2019-01-29 08:34:00


       現在的安全性實在是太差勁了,我們現在面對網絡的快速進步感到高興又害怕,高興的是現在的網絡如此的發展迅速給我們帶來了不小的幫助,害怕的事就是因為網絡這樣快速的發展也給我們的數據信息安全性帶來了很大的威脅。
     英國航空公司( British Airways,以下簡稱英航)發布聲明稱因遭黑客攻擊從而導致其乘客數據被盜。在BBC的采訪中,英航指出,經初步調查,約有38萬乘客數據在此交數據泄露事件中受到影響,這些被盜數據信息包括個人基本信息和付款記錄,但不包括個人護照信息。 
     隨后,英航在其網站上發表了一篇文章,解釋了該事件的相關細節和一些乘客擔心的問題,該篇文章涉及的技術細節較少,但包括了以下信息:

      · 通過英航官網進行付款操作的乘客相關信息受到影響

      · 通過英航手機APP應用進行付款操作的乘客相關信息受到影響

      · 受影響的付款乘客時間段大約為2018年8月21日晚22:58至2018年9月5日晚21:45

      英航在文中表明,攻擊者從其官網和移動應用程序中竊取了以上乘客數據信息,但并未提及更多數據庫或服務器被入侵的有價值線索。因為英航的被盜信息僅與乘客的付款記錄相關,考慮到信用卡數據竊取的前科,我們對臭名昭著的網絡犯罪集團Magecart有了懷疑。

      在此之前,英國老牌票務網站Ticketmaster就報告過一起與英航類似的數據泄露事件,之后,我們RiskIQ調查清楚了整個事件。因為我們可以對涉事方官網進行網頁抓取和互聯網行為分析,因此我們團隊可以擴展涉事時間段,發現比一些公開報告更多的被攻擊網站。本文中,我們將對9月6日公開的英航數據被盜事件,進行前后15天的時間線擴展調查。

      Magecart: 一個臭名昭著的網絡犯罪集團

      自2016年以來,RiskIQ對進行網絡信用卡竊取的組織Magecart進行了多次報道。傳統上來說,犯罪份子會使用一種卡片讀取器的東西,隱藏附加在我們平時用到的ATM機、加油站和其它刷卡設備中,以此來竊取用戶信用卡信息,并進行卡片盜刷或個人信息轉賣。而現在,Magecart使用的是各種在線電子竊取方式來實現用戶信息盜取。

      Magecart會對一些在線用戶支付網站注入腳本,或入侵一些支付相關的第三方供應商網站,以此來竊取用戶數據。近期,Magecart攻擊者就通過入侵了一個第三方功能應用,然后在英國票務網站Ticketmaster上植入了一個在線的信用卡讀取腳本,從而導致了Ticketmaster大量數據泄露。證據表明,在Ticketmaster之后,Magecart把攻擊目標轉向了英國航空公司(British Airways)。

      英航數據泄露事件調查

      網站用戶信息竊取

      調查剛開始,利用我們自己的Magecart檢測模式,我們把Magecart和英航數據泄露事件進行了適配關聯。對我們來說,Magecart的攻擊非常常見,以至于在調查剛開始,幾乎每小時都能響應到Magecart向英航網站植入的卡片讀取代碼。

      對RiskIQ的分析后端來說,其頁面抓取規模是一項值得肯定的能力,我們每天的網頁抓取量會達到20億頁,并能自動累積,另外由于很多現代網站傾向于使用Java來實現架站服務,所以,我們只需加載英航公司網站的20個左右腳本和30個左右的預訂子頁面就可以了。30個頁面雖然不多,但其中大多都是縮小的有數千行代碼的腳本頁面。

      在該事件分析中,我們決定集中精力識別英航公司網站上的每個腳本,驗證網站上的所有獨特腳本,并在該過程中檢查腳本的各種變化行為。最終,我們捕獲到了其中一個腳本modernizr-2.6.2.min.js的變化行為,根據抓取記錄顯示,該腳本是Modernizr Java庫2.6.2的一個更改版文件,英航公司網站的乘客行李認領頁面會加載該腳本。

      該腳本明顯的變化在其部代碼,這是攻擊者慣用的修改Java文件,實現功能破壞目的的技術。其中一些小的腳本標簽引起了我們的注意

      之后,我們在英航公司網站服務器發送的“服務器頭信息”中發現了更多證據,其中的 ‘Last-Modified’ 表明了文件靜態內容的最近一次修改時間。根據我們的抓取記錄顯示,正常的英航公司網站modernizr-2.6.2.min.js文件的頭信息中,‘Last-Modified’日期為2012年12月18日。

      但在英航公司當前網站的,經過修改的惡意modernizr-2.6.2.min.js文件中,其頭信息中的 ‘Last-Modified’ 時間戳與英航調查后給出的數據泄露時間點一致-2018年8月21日

    泄露

      以下是惡意的modernizr-2.6.2.min.js腳本文件圖示,它只有22行Java代碼,但卻讓38萬乘客數據遭到竊取:

      ​實際來說,該腳本非常簡單實用,文件中的每個元素加載完成之后,將會進行以下操作:

      用以下回調代碼把mouseup和touchend事件捆綁到submitButton按鈕上:

      · 用id為paymentForm的形式將數據序列化到一個字典中

      · 用id為personPaying的形式把頁面條目序列化,并歸類為paymentForm信息,并歸入之前的同一個字典中

      · 用這些序列化數據制作出一個文本字符串文件

      · 用JSON形式把文件數據發送到攻擊者架設的baways.com網站

      在實際操作中,mouseup和touchend事件代表了在線用戶在網頁或手機APP中,點擊或提交了某個按鈕操作,然后放開鼠標或離開手機屏幕之后的操作。也就是說,一旦用戶點擊了英航公司網站或APP進行付款按鈕提交之后,其付款表單中的信息將會被惡意代碼提取,會復制一份發送到攻擊者的架設服務器baways.com中。

      與我們過去對Magecart組織的行為分析相比,這種攻擊是一種簡單極具針對性的操作。其中植入的信用卡竊取器代碼能完全與英航公司網站付款頁面適配生效,可以看出,Magecart沒有采用常規的植入代碼,對該網站的入侵攻擊完全有著精心的考慮。

      經調查發現,攻擊者在此次攻擊中使用的網絡架構,完全是為英航公司獨身打造部署的,它把惡意腳本與付款功能進行了完美融合,大大避免了被發現懷疑的可能。我們在攻擊者架設的服務器 baways.com上發現了一些證據和廢棄路徑,該服務器托管在羅馬尼亞IP地址89.47.162.248上。但實際上,該IP屬于立陶宛VPS供應商Time4VPS所有,攻擊者使用SSL證書進行服務器登錄。更有意思的是,為了看起來像個合法的服務器,攻擊者未用免費的LetsEncrypt 證書,而是使用了一個付費的Comodo證書。

      這個Magecart使用的付費證書是8月15日頒發的,間接表明了,Magecart攻擊者可能在8月21日前的很長時間范圍內就能入侵控制英航公司網站了。由于對自身網絡資產沒有明確的識別判斷,英航公司最終沒能檢測到這種網站入侵攻擊。

      移動APP的用戶數據竊取

      在英航公司的安全公告中,它強調網站渠道和移動應用APP渠道的付款用戶都受到了信息泄露影響。我們識別出了攻擊者對網站用戶數據的竊取方式,那么對移動端的竊取方式又是什么呢?我們先來看看英航公司的官方Android應用APP

      通常,開發者在開發一個移動APP時,會預留一個空白的shell區以便從其它地方把內容加載進來。在這里的英航APP中,有一部份APP組件是原生的,但大部份功能都是從英航官網加載過來的。該移動APP中應用了一組不同的通訊主機與英航官網服務交流

      使用API的目的在于,APP為了在UI上進行快速的數據更新,但要進行一些搜索、預訂和管理航班操作,APP就得調用英航官網服務了,比如調用英航官網的一個路徑

      該調用頁面功能為,乘客選擇了不同國家不同機場之后的費用請求,它顯示的頁面

      現在,我們來認真看看這個頁面的源代碼,以發現一個非常有意思的地方-該頁面和英航官網的組成一樣,都是由CSS和Java組件構成的,也就是其設計和功能與英航官網完全類似。關鍵是這里仍然被植入了之前我們分析的惡意腳本modernizr-2.6.2.min.js,攻擊者就是利用這個腳本再次實施了對移動APP用戶的數據竊取

      值得注意的一點是,Magecart攻擊者利用了之前的 touchend 回調事件實現了數據竊取,所以,本質上來講,這種攻擊簡單高效也非常實用。

      總結

      正如在以上攻擊事件分析中所看到的那樣,Magecart通過訂制的,有目的的網絡架構資源,與英國航空公司網站功能完美融合,偽裝得盡乎天衣無縫。目前,我們無法得知攻擊者在英國航空公司網站服務器上的所竊取的具體內容,但他們具備網站資源文件的修改權限是相當可怕的,而且攻擊者在真正數據竊取之前就可能已經對網站形成了入侵,這對英航存在漏洞的網絡資產來說是個警惕。

      自2015年以來,RiskIQ就一直對Magecart組織的攻擊和發起了預警,也將繼續跟蹤報道其可能的攻擊事件。Magecart對英航的攻擊不像對票務網站Ticketmaster那樣的第三方攻擊,但卻引發了對當前一些支付安全問題的質疑。收集應用個人敏感財務數據的公司應該好好考慮一下自身的信息安全形式,當然還要對用戶提交的支付信息進行嚴格控制。

      是不是看到那么的多的資訊看不過來了,每天我們都會在此給大家分享和介紹不同的相關資訊,你都會在我們的網站看到它的存在,感謝你們的支持和合作,我們衷心的感謝你的時刻關注,我們將會誠心誠意為你帶來最新消息。

    • 專題推薦

    次元立方 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
    本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
    香港最快开奖现场直播结果