播播影院在线特别黄色视频看看你,亚洲高清无码视频大全,婷婷三级片,手机天堂AV,亚洲无码在线一区,久热免费,亚洲一级特黄视频,在线操比

作者：Viktor Okorokov

譯者：創(chuàng)宇君

來(lái)源：SegmentFault 思否社區(qū)

介紹

2020年8月，Group-IB發(fā)布了報(bào)告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。這個(gè)報(bào)告描述了網(wǎng)絡(luò)犯罪組織UltraRank的活動(dòng)，該組織在五年里成功攻擊了691家電子商務(wù)商店和13家網(wǎng)站服務(wù)提供商。

2020年11月，我們發(fā)現(xiàn)了新一輪的UltraRank攻擊。攻擊者沒(méi)有使用現(xiàn)有的域進(jìn)行新的攻擊，而是改用新的基礎(chǔ)架構(gòu)來(lái)存儲(chǔ)惡意代碼并收集攔截的支付數(shù)據(jù)。

在UltraRank的新活動(dòng)中，我們發(fā)現(xiàn)了12個(gè)被JavaScript-sniffer感染的電子商務(wù)網(wǎng)站。

這次，JS sniffer的代碼使用了Radix模糊處理。然后，攻擊者使用了SnifLite家族的sniffer。由于受感染網(wǎng)站的數(shù)量相對(duì)較少，攻擊者最有可能使用了CMS管理面板中的憑據(jù)，而這些憑據(jù)又可能被惡意軟件或暴力攻擊破壞。

在最近的一系列攻擊中，UltraRank模仿合法的Google Tag Manager域?qū)阂獯a存儲(chǔ)在網(wǎng)站上。研究發(fā)現(xiàn)，攻擊者的主服務(wù)器由Media Land LLC托管，該公司與一家防彈托管公司有聯(lián)系。

圖1：混淆的sniffer代碼片段

JS Sniffer代碼分析

至少2019年1月開(kāi)始，UltraRank就開(kāi)始使用SnifLite JS Sniffer系列，當(dāng)時(shí)它被用于攻擊Adverline廣告網(wǎng)絡(luò)。惡意代碼通過(guò)指向hXXp://googletagsmanager[.]co/網(wǎng)站上的JS文件的鏈接上載到受感染的網(wǎng)站。該域名偽裝為Google跟蹤代碼管理器googletagmanager.com的合法域。攻擊者的網(wǎng)站hXXp://googletagsmanager[.]co/也可用于收集被攔截的支付卡數(shù)據(jù)（圖2）。

圖2:deobflusced JS Sniffer代碼片段，其中有一個(gè)到gate的鏈接，用于收集被截獲的卡信息

圖3顯示了負(fù)責(zé)攔截SnifLite Sniffer系列中付款信息的函數(shù)。數(shù)據(jù)收集算法基于

函數(shù)querySelectorAll，就像該組織先前使用的FakeLogistics和WebRank sniffer一樣。

收集數(shù)據(jù)后，它將數(shù)據(jù)寫(xiě)入名為google.verify.cache.001的本地儲(chǔ)存中。

圖3：帶有用于收集支付卡數(shù)據(jù)功能的JS sniffer代碼片段

僅當(dāng)用戶所在頁(yè)面的當(dāng)前地址包含以下關(guān)鍵字之一（圖4）時(shí)，才收集和發(fā)送數(shù)據(jù)：

?onepage
?checkout
?store
?cart
?pay
?panier
?kasse
?order
?billing
?purchase
?basket

在發(fā)送被攔截的支付卡信息之前，其數(shù)據(jù)會(huì)從本地存儲(chǔ)的_google.verify.cache.001對(duì)象中提取，并通過(guò)HTTP GET請(qǐng)求傳輸給攻擊者。

圖4:JS sniffer代碼片段，該代碼具有將收集到的數(shù)據(jù)發(fā)送到攻擊者服務(wù)器的功能

基礎(chǔ)設(shè)施分析

在分析sniffer基礎(chǔ)設(shè)施時(shí)，我們發(fā)現(xiàn)了一個(gè)標(biāo)準(zhǔn)PHP腳本，這是UltraRank所有網(wǎng)站的典型腳本。除了關(guān)于發(fā)送的請(qǐng)求和服務(wù)器的公共信息外，腳本還顯示了服務(wù)器的真實(shí)IP地址。分析時(shí)，googletagsmanager[.]共域的IP地址為8.208.16[.]230（ZoomEye搜索結(jié)果）（AS45102，阿里巴巴（美國(guó)）技術(shù)有限公司）。同時(shí)，真正的服務(wù)器地址是45.141.84[.]239（ZoomEye搜索結(jié)果）`（圖5），屬于Media Land LLC（AS206728）。Media Land LLC與一家名為Yalishanda的防彈托管公司有關(guān)聯(lián)，該公司為網(wǎng)絡(luò)犯罪分子提供服務(wù)。據(jù)推測(cè)，Yalishanda的服務(wù)使用從包括阿里巴巴在內(nèi)的多家供應(yīng)商租用的云服務(wù)器來(lái)托管部分網(wǎng)絡(luò)犯罪分子的基礎(chǔ)設(shè)施。

除了服務(wù)器IP地址，腳本還指定了服務(wù)器上網(wǎng)站文件所在的目錄hXXp://googletagsmanager[.]co/:worker。

圖五

圖5：腳本輸出，其中包含有關(guān)googletagsmanager.co域所在服務(wù)器的信息

IP地址45.141.84[.]239（ZoomEye搜索結(jié)果）也鏈接到網(wǎng)站hXXp://s-panel[.]su/。在分析過(guò)程中，再次在UltraRank基礎(chǔ)結(jié)構(gòu)的所有網(wǎng)站上找到了相同的腳本（圖6）。在這種情況下，所有網(wǎng)站文件所在的目錄稱(chēng)為panel。

圖6：腳本輸出，其中包含有關(guān)域s-panel.su所在服務(wù)器的信息

除公用服務(wù)器外，我們還檢測(cè)到一個(gè)SSL證書(shū)50e15969b10d40388bffbb87f56dd83df14576af。該證書(shū)位于googletagsmanager.co域和IP地址為45.141.84[.]239的服務(wù)器上，該服務(wù)器與s-panel[.]su域相關(guān)聯(lián)（圖7）。

圖7：證書(shū)

通過(guò)對(duì)網(wǎng)站hXXp://s-panel[.]su/的進(jìn)一步分析，發(fā)現(xiàn)了登錄表單。據(jù)推測(cè)，該網(wǎng)站被攻擊者用作sniffer控制面板：所有被盜的支付卡數(shù)據(jù)都收集在面板中，用于之后的滲透和轉(zhuǎn)售。

圖8：在網(wǎng)站s-panel.su上找到的登錄表單

我們還發(fā)現(xiàn)了googletagsmanager[.]info域。2020年9月，此域的IP地址與googletagsmanager[.]co (8.208.96.88)（ZoomEye搜索結(jié)果）相同。但是，在撰寫(xiě)本文時(shí)，該網(wǎng)站處于非活動(dòng)狀態(tài)，尚未發(fā)現(xiàn)使用該網(wǎng)站的電子商務(wù)感染案例。

Ioc

· googletagsmanager[.]co

· googletagsmanager[.]info

· s-panel[.]su

建議：

1、對(duì)于銀行

· 使用支付卡時(shí)，通知用戶在線支付過(guò)程中可能出現(xiàn)的風(fēng)險(xiǎn)。

· 如果與您所在銀行有關(guān)的支付卡已被盜用，請(qǐng)及時(shí)處理這些卡，并通知用戶。

2、對(duì)于電子商務(wù)網(wǎng)站的管理員

· 使用復(fù)雜且唯一的密碼來(lái)訪問(wèn)網(wǎng)站的管理面板和用于管理的任何服務(wù)，例如phpMyAdmin、Adminer。如果可能，請(qǐng)?jiān)O(shè)置兩因素身份驗(yàn)證。

· 及時(shí)更新軟件，包括網(wǎng)站的CMS。請(qǐng)勿使用過(guò)時(shí)或不受支持的CMS版本。這將有助于減少服務(wù)器受到威脅的風(fēng)險(xiǎn)，并使攻擊者更難以下載Web Shell和安裝惡意代碼。

· 定期檢查商店中是否存在惡意軟件，并對(duì)網(wǎng)站進(jìn)行安全審核。例如，基于CMS Magento的網(wǎng)站，您可以使用Magento安全掃描工具。

· 使用適當(dāng)?shù)南到y(tǒng)記錄網(wǎng)站上發(fā)生的所有更改，記錄對(duì)網(wǎng)站控制面板和數(shù)據(jù)庫(kù)的訪問(wèn)并跟蹤文件更改日期。這有助于檢測(cè)感染了惡意代碼的網(wǎng)站文件，并跟蹤對(duì)網(wǎng)站或Web服務(wù)器的未經(jīng)授權(quán)的訪問(wèn)。

3、對(duì)于支付系統(tǒng)/支付銀行

· 如果您為電子商務(wù)網(wǎng)站提供支付服務(wù)，請(qǐng)?jiān)诮邮芫W(wǎng)站上的在線支付時(shí)定期向客戶告知基本的安全技術(shù)，以及JavaScript sniffer的威脅。

· 確保您的服務(wù)使用正確配置的安全策略。

點(diǎn)擊左下角閱讀原文，到?SegmentFault 思否社區(qū)?和文章作者展開(kāi)更多互動(dòng)和交流。

-?END -

UltraRank黑客組織的新攻擊