|
概述
Web skimming针对在线商城和网购用户来讲,仍然是一种非常严重的安全威胁。在这一行业,从普通业余兴趣者,到国家级别的黑客组织(例如说Lazarus),网络犯罪分子的繁杂程度各不相同。
在安全方面,许多电子商务网站仍然容易受到攻击,由于它们数年来都无升级过她们的内容管理软件(CMS)。咱们今天看到的活动是关于有些Magento1网站的,而这些网站已然被一个非常活跃的skimmer组织所入侵了。
经过分析后咱们发掘,去年秋天被发掘的Magecart Group 12便是Magento 1攻击事件背面的始作俑者,而这个组织此刻仍在继续传播新的恶意软件。网络犯罪分子会利用这些被叫作为Smilodon或Megalodon的Wen Shell并经过服务器端请求将JavaScript skimming代码加动态加载进在线商城站点中。这种技术非常有意思,由于大都数客户端安全工具都没法检测或阻止skimmer。
Web Shell以favicon的形式隐匿
在对Magento 1网站运用网络爬虫进行分析时,咱们检测到了一个伪装成favicon图标的新型恶意软件。其中,文件名为Magento.png的文件会尝试将其以“image/png”传递,但该文件并无正确的合法图像文件PNG格式内容。
恶意软件能够将合法图标快捷方式标签图换成伪造PNG文件的路径,来实现针对目的站点的入侵。跟运用伪造favicon图标文件来隐匿恶意JavaScript代码的攻击事件区别,这种攻击方式最后将实现一个PHP Web Shell。然则,当前网络犯罪分子所实现的这个PHP脚本并不可被正确加载。
Web Shell是一种非常流行的恶意软件类型,它准许攻击者实现针对目的主机的远程拜访和管理,它们一般会在攻击者利用漏洞实现针对目的主机的入侵之后加载进一台Web服务器中。
为了对这个Web Shell进行深入分析,咱们将其进行了反向解码。咱们看到,它会从一台域名为zolo[.]ow的外边主机获取数据。
在对m1_2021_force目录进行深入分析之后,咱们发掘了专门针对信用卡数据窃取的专用代码。
其中的数据提取部分与Denis@UnmaskParistes科研员在今年三月份于WordPress网站(Smilodon恶意软件)上发掘的内容相符,后者还能够窃取用户凭证数据:
下面给出的是SanSec报告的类似的PHP文件(Mage.php):
在针对Mageto 1EOL攻击事件进行分析时,SamSec之前还报告过类似的路径/文件名:
这寓意着,咱们当时和此刻可能正在科研相同的威胁原因,咱们能够经过科研正在运用的基本设备来确认这一点。
Magecart Group 12
由于咱们在Magento 1.x网站上发掘了favicon Webshell,因此咱们认为可能与去年发掘的Magento 1分支(再也不守护)漏洞攻击事件有关。RiskIQ记录了这些攻击事件,并将其与当时的Magecart Group 12联系起来。
咱们发掘的最新域名(zolo[.]pw)恰好与先前Magecart Group 12相关的域recaptcha-in[.]pw和google statik[.]pw托管在相同的IP位置(217.12.204[.]185)上。
动态加载的skimmer
此刻有非常多办法能够加载skimming代码,但最平常的便是经过调用外边JavaScript资源来实现。当一个客户拜访一个在线商店时,她们的浏览器会向一个托管skimmer的域发出请求。尽管犯罪分子会持续扩展她们的基本设备,但针对哪些运用域/IP数据库的skimmer来讲,阻止和屏蔽还是相对容易的。
相比之下,本文所介绍的skimmer会将代码动态地注入到商家网站中。向托管skimming代码的恶意域发送请求的是服务器端,而不是客户端。这般一来,除非所有被入侵的在线商城都被加入黑名单,否则这将引起基于数据库的屏蔽办法将行不通。一种更有效、但亦更繁杂且容易出现误报的办法是实时检测DOM,并检测何时加载了恶意代码。
入侵威胁指标IoCfacedook[.]hostpathc[.]spacepredator[.]hostgoogle-statik[.]pwrecaptcha-in[.]pwsexrura[.]pwzolo[.]pwkermo[.]pwpsas[.]pwpathc[.]spacepredator[.]hostgooogletagmanager[.]onlineimags[.]pwy5[.]msautocapital[.]pwmyicons[.]netqr202754[.]pwthesun[.]pwredorn[.]spacezeborn[.]pwgoogletagmanagr[.]comautocapital[.]pwhttp[.]psxxx-club[.]pwy5[.]ms195[.]123[.]217[.]18217[.]12[.]204[.]18583[.]166[.]241[.]20583[.]166[.]242[.]10583[.]166[.]244[.]11383[.]166[.]244[.]15283[.]166[.]244[.]18983[.]166[.]244[.]7683[.]166[.]245[.]13183[.]166[.]246[.]3483[.]166[.]246[.]8183[.]166[.]248[.]67jamal.budunoff@yandex[.]rumuhtarpashatashanov@yandex[.]runikola-az@rambler[.]ru fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
精彩举荐
| 
发表于 2024-10-4 16:35:43