整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
年來,卡巴斯基反病毒軟件一直在各項(xiàng)安全測試中名列前茅。然而近日曝出的數(shù)據(jù)泄露事件,竟使得第三方能夠長期監(jiān)視用戶的網(wǎng)絡(luò)活動。德國網(wǎng)站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個(gè)奇怪發(fā)現(xiàn),讓他知曉卡巴斯基反病毒軟件造成了驚人的數(shù)據(jù)泄露。
(題圖 via Heise.de)
作為 c't issue 3 / 2019 測試第一部分,小編會定期對反病毒軟件進(jìn)行測試,以觀察其是否履行了企業(yè)所聲稱的安全承諾。
在剛開始的幾周和幾個(gè)月,事情似乎波瀾不驚 —— 卡巴斯基軟件的表現(xiàn),與 WindowsDefender 基本相同或差強(qiáng)人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意網(wǎng)站的 HTML 源碼后發(fā)現(xiàn),卡巴斯基竟然為其注入了如下代碼:
顯然,瀏覽器正在加載來自 Kaspersky 域、名為 main.js 的外部 JavaScript腳本。盡管 JS 代碼并不罕見,但當(dāng)深入查看瀏覽器中顯示的其它網(wǎng)站的 HTML 源碼時(shí),幾乎都有同樣奇怪的發(fā)現(xiàn)。
毫無意外的是,Ronald Eikenberg 竟然在個(gè)人網(wǎng)銀網(wǎng)站上,也查看到了來自卡巴斯基的腳本。因此其斷定 —— 這件事可能與卡巴斯基軟件有些關(guān)聯(lián)。
為了驗(yàn)證,Ronald Eikenberg 嘗試了 Mozilla Firefox、Microsoft Edge、以及 Opera 瀏覽器,結(jié)果發(fā)現(xiàn)相同的代碼隨處可見。
鑒于沒有安裝可疑的瀏覽器擴(kuò)展程序,他只能簡單理解為是卡巴斯基反病毒軟件在操縱當(dāng)前的網(wǎng)絡(luò)流量 —— 在未獲得用戶許可的情況下,卡巴斯基僭越了!
在此事曝光前,許多人可能只會在網(wǎng)銀木馬類惡意軟件上觀察到這種行為,以圖竊取或篡改關(guān)鍵信息(比如悄悄地變更了網(wǎng)銀轉(zhuǎn)賬的收款方)。現(xiàn)在的問題是 —— 卡巴斯基你到底在干嘛呢?!
經(jīng)過對 main.js 腳本展開的一番分析,可知卡巴斯基會在判別某個(gè)‘干凈’網(wǎng)站鏈接后,在地址欄顯示帶有谷歌搜索結(jié)果的綠色圖標(biāo)。
然而還有一個(gè)小細(xì)節(jié) —— 加載卡巴斯基腳本的地址,也包含了一段可疑的字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
鏈接加粗部分,顯然屬于某種“通用唯一標(biāo)識符”(UUID)。但是作為一款計(jì)算機(jī)安全軟件,卡巴斯基要拿這串字符去識別或追蹤誰呢?
擴(kuò)展擴(kuò)展驗(yàn)證,Ronald Eikenberg 在其它計(jì)算機(jī)上也安裝了卡巴斯基軟件,發(fā)現(xiàn)它確實(shí)會向其它系統(tǒng)同樣注入 JavaScript 代碼、并且留意到了一個(gè)至關(guān)重要的區(qū)別。
源地址中的 UUID,在每臺系統(tǒng)上都是不一樣的。這些 ID 屬于持久性的標(biāo)識,即便過了幾天也不會發(fā)生改變。顯然,每臺計(jì)算機(jī)都會擁有自己的永久分配 ID 。
而將這串 UUID 直接注入每個(gè)網(wǎng)站的 HTML 源碼,絕對是一個(gè)糟糕頭頂?shù)闹饕狻?/strong>因?yàn)樵诰W(wǎng)站域上下文環(huán)境中運(yùn)行的其它腳本,都可以隨時(shí)訪問整個(gè) HTML 源,甚至讀取卡巴斯基這串 UUID 。
這意味著任何網(wǎng)站都可以讀取并追蹤卡巴斯基軟件用戶的網(wǎng)絡(luò) ID,只要另一個(gè)網(wǎng)站檢測到了同一字符串,就能認(rèn)定其訪問源來自同一臺計(jì)算機(jī)。
基于這種假設(shè),卡巴斯基顯然是打造了一套危險(xiǎn)的追蹤機(jī)制,甚至比傳統(tǒng)的 cookie 更加極端 —— 就算你切換了瀏覽器,也會被追蹤并識別到在使用同一臺設(shè)備、讓瀏覽器的隱身模式形同虛設(shè)。
為避免更多用戶陷入風(fēng)險(xiǎn),c't 決定立即向卡巴斯基通報(bào)這一發(fā)現(xiàn)、并且迅速得到了對方的答復(fù),稱其已著手調(diào)查此事。
大約兩周后,卡巴斯基莫斯科總部對這一案例進(jìn)行了分析,并證實(shí)了 c't 的這一發(fā)現(xiàn)。
該問題影響所有使用 Windows 版卡巴斯基安全軟件的消費(fèi)者版本,從入門機(jī)的免費(fèi)版、互聯(lián)網(wǎng)安全套裝(KIS)、直至全面防護(hù)版(Total Security)。
此外,卡巴斯基小企業(yè)安全版(Small OfficeSecurity)也受到了該問題的影響,導(dǎo)致數(shù)百萬用戶暴露于風(fēng)險(xiǎn)之中。
Heise.de 調(diào)查顯示,卡巴斯基從 2015 年秋發(fā)布的“2016”系列版本中引入了該漏洞。但既然普通網(wǎng)友都能在無意間發(fā)現(xiàn)這個(gè)漏洞,包括營銷機(jī)構(gòu)在內(nèi)的第三方,也極有可能早就展開了野外利用。
即便如此,卡巴斯基仍表示這種攻擊過于復(fù)雜,因此發(fā)生的概率極低,對網(wǎng)絡(luò)犯罪分子來說有些無利可圖。
然而 Heise.de 并不贊同該公司的說法,畢竟許多企業(yè)都在努力監(jiān)視每一位網(wǎng)站來訪者,這個(gè)持續(xù)四年的漏洞,很有可能是其展開間諜活動的一個(gè)福音。
萬幸的是,在認(rèn)識到事情的嚴(yán)重性之后,卡巴斯基終于聽從了爆料者的要求,在上月發(fā)布了 CVE-2019-8286 安全公告,且相關(guān)補(bǔ)丁也已經(jīng)打上。
當(dāng)然,為了安全起見,您也可禁用卡巴斯基軟件中提供的相關(guān)功能:
點(diǎn)擊主窗口左下角的齒輪(設(shè)置)圖標(biāo) -> 點(diǎn)擊‘其它 / 網(wǎng)絡(luò)’-> 然后取消‘流量處理’下的‘將腳本注入 Web 流量以與網(wǎng)頁交互’選項(xiàng)。
因業(yè)務(wù)需要,需監(jiān)控某web站點(diǎn)目錄下所有文件是否被惡意篡改(文件內(nèi)容被改了),如果有就打印改動的文件名(發(fā)郵件),定時(shí)任務(wù)每3分鐘執(zhí)行一次。
下面簡單介紹下實(shí)現(xiàn)過程。
1、文件的校驗(yàn)文件
find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum
2、目錄的校驗(yàn)文件
tree /var/html/www/ -d >/tmp/check/web_dir_check.txt md5sum /tmp/check/web_dir_check.txt md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum
Sendmail配置發(fā)送郵件的郵箱認(rèn)證信息
vi /etc/mail.rc
--- 增加如下內(nèi)容 --- set from=yourname@your-domain.com set smtp=mail.your-domain.com set smtp-auth-user=yourname set smtp-auth-password=yourpasswd set smtp-auth=login
#!/bin/bash ############################################################# # File Name: web_file_check.sh # 前提: yum install -y tree ############################################################# ? Dir=/tmp/check/ Web_Dir=/tmp/html/ Check_File1=/tmp/check/web_file_check.md5sum Check_File2=/tmp/check/web_dir_check.md5sum Check_Dir=/tmp/check/web_dir_check.txt Check_Out=/tmp/check/check_out.md5sum Mail_info=/tmp/check/mail.txt ? Date=`date +%F_%T` Host_Name=`hostname` Host_IP=`hostname -I` Email_Addr=huangwb@fslgz.com ? echo "=========================inital============================" [ -d $Dir ] || mkdir -p $Dir if [ ! -f $Check_File1 ] then find /tmp/html/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum elif [ ! -f $Check_File2 ] then tree /tmp/html/ -d >/tmp/check/web_dir_check.txt md5sum /tmp/check/web_dir_check.txt md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum fi ? echo "========================check_out============================" md5sum -c $Check_File1 >$Check_Out 2>/dev/null Back_num1=$? tree -d $Web_Dir >$Check_Dir md5sum -c $Check_File2 &>/dev/null Back_num2=$? ? echo "======================開始校驗(yàn)并觸發(fā)告警=====================" if [ $Back_num1 -ne 0 ] then echo "發(fā)生主機(jī):$Host_Name 主機(jī)IP地址:$Host_IP" > $Mail_info echo "在 $Date 的檢測中發(fā)現(xiàn)以下文件被篡改" >>$Mail_info echo "==================================================" >>$Mail_info egrep -i "失敗|failed" $Check_Out >>$Mail_info echo "==================================================" >>$Mail_info echo "請盡快登陸服務(wù)器進(jìn)行處理!!!" >>$Mail_info mail -s "【警告】web站點(diǎn)文件被篡改" -a $Check_File1 $Email_Addr <$Mail_info fi ? if [ $Back_num2 -ne 0 ] then echo "目錄檢測信息" >$Mail_info echo "在 $Date 的檢測中發(fā)現(xiàn)目錄被篡改" >>$Mail_info mail -s "【警告】web站點(diǎn)目錄被篡改" -a $Check_Dir $Email_Addr<$Check_Dir fi ?
刪除文件后執(zhí)行結(jié)果
查看郵件:
覺得有用的朋友多幫忙轉(zhuǎn)發(fā)哦!后面會分享更多devops和DBA方面的內(nèi)容,感興趣的朋友可以關(guān)注下~
日,Akamai安全情報(bào)小組的研究人員發(fā)現(xiàn)黑客“創(chuàng)造性“地篡改電商網(wǎng)站的404頁面來竊取用戶的信用卡信息。(研究人員還發(fā)現(xiàn)另外一種攻擊手法:將代碼隱藏在HTML圖像標(biāo)簽的“onerror”屬性和圖像二進(jìn)制文件中,使其顯示為Meta Pixel代碼片段。)
Akamai表示,此類Magecart盜卡活動主要針對使用Magento和WooCommerce的電商網(wǎng)站,一些食品和零售行業(yè)的知名品牌受到影響。
Akamai在報(bào)告中指出:“Magecart攻擊者利用默認(rèn)的404錯(cuò)誤頁面來隱藏和加載惡意卡竊取代碼,這在之前的活動中從未見過。這種隱藏技術(shù)具有高度創(chuàng)新性,我們在之前的Magecart活動中從未見過。“
研究者發(fā)現(xiàn),偽裝成元像素代碼片段或者隱藏在受感染結(jié)賬頁面上的瀏覽器加載程序會向名為“icons”的相對路徑發(fā)起獲取請求,但由于網(wǎng)站上不存在該路徑,因此該請求會導(dǎo)致“404NotFound”錯(cuò)誤頁面。
該加載程序包含一個(gè)正則表達(dá)式匹配,用于在404頁面返回的HTML中搜索特定字符串,研究人員對該字符串解碼發(fā)現(xiàn)了一個(gè)隱藏在所有404頁面中的JavaScript瀏覽器(下圖):
研究者指出,篡改404頁面的方法有助于逃避網(wǎng)絡(luò)流量監(jiān)控工具的檢測,因?yàn)樵撜埱罂雌饋硐袷橇夹缘膱D像獲取事件。然而,解碼Base64字符串會泄露個(gè)人和信用卡信息。
篡改404頁面的案例也凸顯了信用卡盜竊攻擊不斷變化的策略和攻擊手段,網(wǎng)站管理員越來越難以在受感染的網(wǎng)站上找到惡意代碼并對其進(jìn)行清理。
參考鏈接:
https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer
*請認(rèn)真填寫需求信息,我們會在24小時(shí)內(nèi)與您取得聯(lián)系。
