• JS特效 网上彩票代理官网http://www.it165.net/js/
  • 奥博注册官网

    發布日期︰2020-02-25 22:34:00


       現在的安全性(xing)實(shi)在是太差勁了,我(wo)們(men)現在面對網絡的快速進步感到高(gao)興又害怕(pa),高(gao)興的是現在的網絡如此(ci)的發展迅(xun)速給我(wo)們(men)帶來chuo)瞬bu)小的幫助,害怕(pa)的事(shi)就是因為網絡這(zhe)樣快速的發展也給我(wo)們(men)的數(shu)據信息安全性(xing)帶來chuo)撕艽蟺耐病br /> 英國航空(kong)公司( British Airways,以下lu)虺chen)英航)發布聲明稱(chen)因遭(zao)黑客攻擊(ji)從而導(dao)致其(qi)乘(cheng)客數(shu)據被(bei)盜。在BBC的采訪中,英航指出(chu),經初步調查,約有38萬乘(cheng)客數(shu)據在此(ci)交(jiao)數(shu)據泄露事(shi)件(jian)中受到jie)ying)響,這(zhe)些被(bei)盜數(shu)據信息包括個人(ren)基本信息和付款記(ji)錄(lu),但不(bu)包括個人(ren)護照(zhao)信息。 
     隨後,英航在其(qi)網站(zhan)上發表了一篇文(wen)章,解釋了該事(shi)件(jian)的相關細節和一些乘(cheng)客擔心的問(wen)題(ti),該篇文(wen)章lv)she)及的技(ji)術細節較(jiao)少,但包括了以下信息︰

      · 通過英航官網進行付款操作的乘(cheng)客相關信息受到jie)ying)響

      · 通過英航手(shou)機APP應用進行付款操作的乘(cheng)客相關信息受到jie)ying)響

      · 受影(ying)響的付款乘(cheng)客時間段大約為2020年02月25日晚22:58至2020年02月25日晚21:45

      英航在文(wen)中表明,攻擊(ji)者從其(qi)官網和移動應用程序中竊取了以上乘(cheng)客數(shu)據信息,但並未提(ti)及更(geng)多數(shu)據庫(ku)或(huo)服務器被(bei)入侵的有價值線(xian)索(suo)。因為英航的被(bei)盜信息僅與乘(cheng)客的付款記(ji)錄(lu)相關,考慮到信用卡(ka)數(shu)據竊取的前科(ke),我(wo)們(men)qian)猿裘閻耐綬缸錛 agecart有了懷疑。

      在此(ci)之(zhi)前,英國老牌票(piao)務網站(zhan)Ticketmaster就報告過一起與英航類似pin)氖shu)據泄露事(shi)件(jian),之(zhi)後,我(wo)們(men)RiskIQ調查清楚了整個事(shi)件(jian)。因為我(wo)們(men)可以對涉(she)事(shi)方官網進行網頁抓取和互聯網行為分析(xi),因此(ci)我(wo)們(men)團隊可以擴(kuo)展涉(she)事(shi)時間段,發現比(bi)一些公開報告更(geng)多的被(bei)攻擊(ji)網站(zhan)jin)1疚wen)中,我(wo)們(men)將對9月6日公開的英航數(shu)據被(bei)盜事(shi)件(jian),進行前後15天的時間線(xian)擴(kuo)展調查。

      Magecart: 一個臭名昭著的網絡犯罪集團

      自2016年以來,RiskIQ對進行網絡信用卡(ka)竊取的組織Magecart進行了多次報道。傳(chuan)統(tong)上來ci)擔 缸鋟葑踴 褂靡恢摯ka)片讀(du)取器的東西(xi),隱(yin)藏附加在我(wo)們(men)平時用到的ATM機、加油站(zhan)和其(qi)它(ta)刷卡(ka)設備中,以此(ci)來竊取用戶(hu)信用卡(ka)信息,並進行卡(ka)片盜刷或(huo)個人(ren)信息轉賣(mai)。而現在,Magecart使用的是各(ge)種在線(xian)電子竊取方式來實(shi)現用戶(hu)信息盜取。

      Magecart會對一些在線(xian)用戶(hu)支付網站(zhan)注入腳本,或(huo)入侵一些支付duan)喙氐牡諶san)方供(gong)應商網站(zhan),以此(ci)來竊取用戶(hu)數(shu)據。近(jin)期,Magecart攻擊(ji)者就通過入侵了一個第三(san)方功能應用,然後在英國票(piao)務網站(zhan)Ticketmaster上植入了一個在線(xian)的信用卡(ka)讀(du)取腳本,從而導(dao)致了Ticketmaster大量數(shu)據泄露。證據表明,在Ticketmaster之(zhi)後,Magecart把(ba)攻擊(ji)目標轉向了英國航空(kong)公司(British Airways)。

      英航數(shu)據泄露事(shi)件(jian)調查

      網站(zhan)用戶(hu)信息竊取

      調查剛開始(shi),利用我(wo)們(men)自己的Magecart檢測模式,我(wo)們(men)把(ba)Magecart和英航數(shu)據泄露事(shi)件(jian)進行了適配關聯。對我(wo)們(men)來ci)擔agecart的攻擊(ji)非常常見,以至于在調查剛開始(shi),幾乎每小時都能響應到Magecart向英航網站(zhan)植入的卡(ka)片讀(du)取代(dai)碼。

      對RiskIQ的分析(xi)後端來ci)擔 qi)頁面抓取規模是一項值得肯定(ding)的能力,我(wo)們(men)每天的網頁抓取量會達到20億頁,並能自動累積,另外由(you)于很多現代(dai)網站(zhan)傾(qing)向于使用Java來實(shi)現架(jia)站(zhan)服務,所以,我(wo)們(men)只需加載英航公司網站(zhan)的20個左右腳本和30個左右的預訂子頁面就可以了。30個頁面雖然不(bu)多,但其(qi)中大多都是縮小的有數(shu)千行代(dai)碼的腳本頁面。

      在該事(shi)件(jian)分析(xi)中,我(wo)們(men)決定(ding)集中精力識別英航公司網站(zhan)上的每個腳本,驗證網站(zhan)上的所有獨特腳本,並在該過程中檢查腳本的各(ge)種變化行為。最(zui)終(zhong),我(wo)們(men)捕獲到了其(qi)中一個腳本modernizr-2.6.2.min.js的變化行為,根(gen)據抓取記(ji)錄(lu)顯示,該腳本是Modernizr Java庫(ku)2.6.2的一個更(geng)改版文(wen)件(jian),英航公司網站(zhan)的乘(cheng)客行李認領(ling)頁面會加載該腳本jin)/p>

      該腳本明顯的變化在其(qi)部代(dai)碼,這(zhe)是攻擊(ji)者慣用的修改Java文(wen)件(jian),實(shi)現功能破壞目的的技(ji)術。其(qi)中一些小的腳本標簽引(yin)起了我(wo)們(men)的注意

      之(zhi)後,我(wo)們(men)在英航公司網站(zhan)服務器發送(song)的“服務器頭信息”中發現了更(geng)多證據,其(qi)中的 ‘Last-Modified’ 表明了文(wen)件(jian)靜態內(na)容(rong)的最(zui)近(jin)一次修改時間。根(gen)據我(wo)們(men)的抓取記(ji)錄(lu)顯示,正(zheng)常的英航公司網站(zhan)modernizr-2.6.2.min.js文(wen)件(jian)的頭信息中,‘Last-Modified’日期為2020年02月25日。

      但在英航公司當前網站(zhan)的,經過修改的惡意modernizr-2.6.2.min.js文(wen)件(jian)中,其(qi)頭信息中的 ‘Last-Modified’ 時間戳(chuo)與英航調查後給出(chu)的數(shu)據泄露時間點一致-2020年02月25日

    泄露

      以下是qian)褚獾odernizr-2.6.2.min.js腳本文(wen)件(jian)圖示,它(ta)只有22行Java代(dai)碼,但卻讓38萬乘(cheng)客數(shu)據遭(zao)到jiao)勻。/p>

      ​實(shi)際來ci)擔 媒瘧痙淺<虻?shi)用,文(wen)件(jian)中的每個元素加載完成之(zhi)後,將會進行以下操作︰

      用以下回(hui)調代(dai)碼把(ba)mouseup和touchend事(shi)件(jian)捆綁到submitButton按(an)鈕上︰

      · 用id為paymentForm的形wen)澆 shu)據序列xie) 揭桓鱟值渲/p>

      · 用id為personPaying的形wen)槳ba)頁面條目序列xie)   gui)類為paymentForm信息,並歸(gui)入之(zhi)前的同一個字典中

      · 用這(zhe)些序列xie) shu)據制作出(chu)一個文(wen)本字zhi) wen)件(jian)

      · 用JSON形wen)槳ba)文(wen)件(jian)數(shu)據發送(song)到攻擊(ji)者架(jia)設的baways.com網站(zhan)

      在實(shi)際操作中,mouseup和touchend事(shi)件(jian)代(dai)表了在線(xian)用戶(hu)在網頁或(huo)手(shou)機APP中,點擊(ji)或(huo)提(ti)交(jiao)了某個按(an)鈕操作,然後放開鼠標或(huo)離開手(shou)機屏幕之(zhi)後的操作。也就是說,一旦用戶(hu)點擊(ji)了英航公司網站(zhan)或(huo)APP進行付款按(an)鈕提(ti)交(jiao)之(zhi)後,其(qi)付款表單中的信息將會被(bei)惡意代(dai)碼提(ti)取,會復制一份發送(song)到攻擊(ji)者的架(jia)設服務器baways.com中。

      與我(wo)們(men)過去對Magecart組織的行為分析(xi)相比(bi),這(zhe)種攻擊(ji)是一種簡單極具(ju)針(zhen)對性(xing)的操作。其(qi)中植入的信用卡(ka)竊取器代(dai)碼能完全與英航公司網站(zhan)付款頁面適配生效,可以看出(chu),Magecart沒有采用常規的植入代(dai)碼,對該網站(zhan)的入侵攻擊(ji)完全有著精心的考慮。

      經調查發現,攻擊(ji)者在此(ci)次攻擊(ji)中使用的網絡架(jia)構,完全是為英航公司獨身(shen)打造部署的,它(ta)把(ba)惡意腳本與付款功能進行了song)昝廊諍希 蟠蟊 飭吮bei)發現懷疑的可能。我(wo)們(men)在攻擊(ji)者架(jia)設的服務器 baways.com上發現了一些證據和廢棄(qi)路徑,該服務器托管(guan)在羅馬(ma)尼亞IP地址(zhi)89.47.162.248上。但實(shi)際上,該IP屬(shu)于立陶宛(wan)VPS供(gong)應商Time4VPS所有,攻擊(ji)者使用SSL證書進行服務器登錄(lu)。更(geng)有意思的是,為了看起來像個合法的服務器,攻擊(ji)者未用免費的LetsEncrypt 證書,而是使用了一個付費的Comodo證書。

      這(zhe)個Magecart使用的付費證書是8月15日頒發的,間接(jie)表明了,Magecart攻擊(ji)者可能在8月21日前的很長時間範圍(wei)內(na)就能入侵控制英航公司網站(zhan)了。由(you)于對自身(shen)網絡資產沒有明確的識別判斷(duan),英航公司最(zui)終(zhong)沒能檢測到這(zhe)種網站(zhan)入侵攻擊(ji)。

      移動APP的用戶(hu)數(shu)據竊取

      在英航公司的安全公告中,它(ta)強調網站(zhan)渠道和移動應用APP渠道的付款用戶(hu)都受到了信息泄露影(ying)響。我(wo)們(men)識別出(chu)了攻擊(ji)者對網站(zhan)用戶(hu)數(shu)據的竊取方式,那麼對移動端的竊取方式jie)質鞘裁茨ne)?我(wo)們(men)先來看看英航公司的官方Android應用APP

      通常,開發者在開發一個移動APP時,會預留一個空(kong)白(bai)的shell區(qu)以便從其(qi)它(ta)地方把(ba)內(na)容(rong)加載進來chu)T謖zhe)里的英航APP中,有一部份APP組件(jian)是原生的,但大部份功能都是從英航官網加載過來的。該移動APP中應用了一組不(bu)同的通訊主(zhu)機與英航官網服務交(jiao)流

      使用API的目的在于,APP為了在UI上進行快速的數(shu)據更(geng)新(xin),但要進行一些搜索(suo)、預訂和管(guan)理航班操作,APP就得調用英航官網服務了,比(bi)如調用英航官網的一個路徑

      該調用頁面功能為,乘(cheng)客選擇了不(bu)同國家不(bu)同機場之(zhi)後的費用men)肭螅 ta)顯示的頁面

      現在,我(wo)們(men)來認真看看這(zhe)個頁面的源代(dai)碼,以發現一個非常有意思的地方-該頁面和英航官網的組成一樣,都是由(you)CSS和Java組件(jian)構成的,也就是其(qi)設計和功能與英航官網完全類似。關鍵是這(zhe)里仍(reng)然被(bei)植入了之(zhi)前我(wo)們(men)分析(xi)的惡意腳本modernizr-2.6.2.min.js,攻擊(ji)者就是利用這(zhe)個腳本再次wen)凳shi)了對移動APP用戶(hu)的數(shu)據竊取

      值得注意的一點是,Magecart攻擊(ji)者利用了之(zhi)前的 touchend 回(hui)調事(shi)件(jian)實(shi)現了數(shu)據竊取,所以,本ju)噬俠唇玻 zhe)種攻擊(ji)簡單高(gao)效也非常實(shi)用。

      總結

      正(zheng)如在以上攻擊(ji)事(shi)件(jian)分析(xi)中所看到的那樣,Magecart通過訂制pin)模 心康牡耐緙jia)構資源,與英國航空(kong)公司網站(zhan)功能完美融合,偽裝得盡(jin)乎天衣(yi)無縫。目前,我(wo)們(men)無法得知攻擊(ji)者在英國航空(kong)公司網站(zhan)服務器上的所竊取的具(ju)體內(na)容(rong),但他們(men)具(ju)備網站(zhan)資源文(wen)件(jian)的修改權限(xian)是相當可怕(pa)的,而且攻擊(ji)者在真正(zheng)數(shu)據竊取之(zhi)前就可能已經對網站(zhan)形成了入侵,這(zhe)對英航存在漏洞(dong)的網絡資產來ci)凳歉鼉 ti)。

      自2015年以來,RiskIQ就一直對Magecart組織的攻擊(ji)和發起了預警,也將繼(ji)續跟蹤報道其(qi)可能的攻擊(ji)事(shi)件(jian)。Magecart對英航的攻擊(ji)不(bu)像對票(piao)務網站(zhan)Ticketmaster那樣的第三(san)方攻擊(ji),但卻引(yin)發了對當前一些支付安全問(wen)題(ti)的質疑。收集應用個人(ren)敏感財務數(shu)據的公司應該好(hao)好(hao)考慮一下自身(shen)的信息安全形wen)劍 比(bi)換掛 雜沒hu)提(ti)交(jiao)的支付信息進行嚴格控制。

      是不(bu)是看到那麼的多的資訊看不(bu)過來chuo)耍 刻 wo)們(men)qian)薊嵩詿ci)給大家分享和介(jie)紹不(bu)同的相關資訊,你都會在我(wo)們(men)的網站(zhan)看到它(ta)的存在,感謝(xie)你們(men)的支持和合作,我(wo)們(men)衷心的感謝(xie)你的時刻關注,我(wo)們(men)將會誠心誠意為你帶來最(zui)新(xin)消息。

    • 奥博注册官网

    次元立方 -廣(guang)告服務 -隱(yin)私聲明 -版權申(shen)明 -免責條款 -永发棋牌官网網站(zhan)地圖 -網友投稿 -聯系方式
    本站(zhan)內(na)容(rong)來自于互聯網,僅供(gong)用于網絡技(ji)術學(xue)習,學(xue)習中請遵循相關法律(lv)法規
    奥博注册官网 | 下一页