導語:近期,研究人員在Amazon CloudFront上發現大量被攻擊的案例,其中CDN上保存的JS庫被注入了web skimmer。
Amazon CloudFrontAmazon CloudFront是一項高度可編程的內容分發網絡 (CDN) 服務,具有高性能和高可用性的特點,可以安全地以向全球客戶分發網站、視頻、音樂、應用程序、軟件和遊戲。近期,研究人員在 Amazon CloudFront上發現大量被攻擊的案例,其中CDN上保存的JS庫被注入了web skimmer。
儘管與CDN相關的攻擊活動都會通過供應鏈影響大量的web特點,但是本次攻擊卻沒有。沒有通過外部對加載的內容進行驗證,這些網站都將其用戶暴露在威脅中,其中就包括信用卡數據竊取。在分析了數據洩露事件之後,研究人員發現這是來自Magecart攻擊活動的延續。
隱藏skimmer的理想場所
因為CDN能為網站所有者提供很多便利,包括優化負載和成本,以及數據分析,因此CDN的應用非常廣泛。研究人員分析過程中發現這些被入侵的站點與其他站點除了使用定製CDN來加載不同庫以外沒有什麼不同。事實上,對其CDN庫的入侵的受害者就只有他們自己。
第一個例子是位於AWS S3 bucket的JS庫。Skimmer被加到原始代碼的後面並使用混淆的方法來隱藏自己。
在其AWS S3 bucket上加載被入侵的JS庫的站點
第二個例子是skimmer被注入到相同目錄中的多個庫,同樣地,S3 bucket也只有該網站使用。
Fiddler流量包表明多個AWS上的文件被注入skimmer
最後還有一個例子是skimmer被注入到加載自定製CloudFront URL的不同腳本中。
Fiddler流量抓包表明skimmer被注入到定製的CloudFront庫中
Exfiltration gate
Skimmer使用兩種編碼方式來隱藏payload,包括exfiltration gate (cdn-imgcloud[.]com)。竊取的表單數據在發送到犯罪分子基礎設置之前也會進行編碼。
我們一定見過很多Magento電商網站,其中一些受害者包括新聞門戶、律所、軟件公司以及小型典型運營商,都運行著CMS系統。
表明竊取數據功能的skimmer代碼段
如圖所示,許多站點甚至沒有支付表單,只有簡單的登陸表單。這就讓研究人員更加相信Magecart攻擊者是在發起對可以訪問的CDN的spray and pray(遍地開花式)攻擊。也許攻擊者希望入侵那麼有更流量的網站的庫,或將有價值的基礎設施與可以竊取的輸入數據關聯起來。
與現有攻擊活動的聯繫
攻擊中使用的skimmer與之前看到的非常相像。研究人員分析發現他使用的exfiltration gate (font-assets[.]com)與RiskIQ供應鏈攻擊報告中的是一樣的。
exfiltration gate變化比較
研究人員分析新的cdn-imgcloud[.]com發現,註冊時間就在RiskIQ的分析文章幾天後,而且使用Carbon2u作為域名服務器。
Creation Date: 2019-05-16T07:12:30Z
Registrar: Shinjiru Technology Sdn Bhd
Name Server: NS1.CARBON2U.COM
Name Server: NS2.CARBON2U.COM
域名解析的IP地址45.114.8[.]160是屬於香港的ASN 55933。通過分析相同的子網,研究人員發現了最近註冊的其他exfiltration gate。
VirusTotal圖示
從VirusTotal圖中可以看出font-assets[.]com和ww1-filecloud[.]com這兩個域名和179.43.144[.]137重新回到了犯罪分子手中。
歷史DNS記錄表明2019年5月25日開始,font-assets[.]com開始解析到IP 45.114.8[.]161,很快ww1-filecloud[.]com就解析到45.114.8[.]159。
找出和利用漏洞
這類針對私有CDN庫的攻擊類型也並不是第一次出現,這說明攻擊者在想一切可以想的辦法來尋找和利用漏洞以進入系統中。
文中的例子並不是第三方腳本供應鏈攻擊,而是第三方基礎設施。除了對所在庫的CDN進行相同級的網絡控制外,驗證外部加載的內容等方式也可以進行額外的保護。
原文鏈接:https://blog.malwarebytes.com/threat-analysis/2019/06/magecart-skimmers-found-on-amazon-cloudfront-cdn/
歡迎來安全脈搏查看更多的乾貨文章和我們一起交流互動哦!
脈搏地址:https://www.secpulse.com/archives/106525.html
微博地址:Sina Visitor System
閱讀更多 安全脈搏 的文章