年來(lái)�,卡巴斯基反病毒軟件一直在各項(xiàng)安全測(cè)試中名列前茅。然而近日曝出的數(shù)據(jù)泄露事件�,竟使得第三方能夠長(zhǎng)期監(jiān)視用戶的網(wǎng)絡(luò)活動(dòng)。德國(guó)網(wǎng)站 Heise.de 編輯 Ronald Eikenberg 指出,在其辦公室電腦上的一個(gè)奇怪發(fā)現(xiàn),讓他知曉卡巴斯基反病毒軟件造成了驚人的數(shù)據(jù)泄露�����。
(題圖 via Heise.de)
作為 c't issue 3 / 2019 測(cè)試第一部分,小編會(huì)定期對(duì)反病毒軟件進(jìn)行測(cè)試,以觀察其是否履行了企業(yè)所聲稱的安全承諾。
在剛開始的幾周和幾個(gè)月�,事情似乎波瀾不驚 —— 卡巴斯基軟件的表現(xiàn)�����,與 WindowsDefender 基本相同或差強(qiáng)人意�。
然而忽然有一天���,Ronald Eikenberg 在查看了任意網(wǎng)站的 HTML 源碼后發(fā)現(xiàn)���,卡巴斯基竟然為其注入了如下代碼:
顯然�����,瀏覽器正在加載來(lái)自 Kaspersky 域、名為 main.js 的外部 JavaScript腳本���。盡管 JS 代碼并不罕見,但當(dāng)深入查看瀏覽器中顯示的其它網(wǎng)站的 HTML 源碼時(shí)�,幾乎都有同樣奇怪的發(fā)現(xiàn)�����。
毫無(wú)意外的是,Ronald Eikenberg 竟然在個(gè)人網(wǎng)銀網(wǎng)站上���,也查看到了來(lái)自卡巴斯基的腳本。因此其斷定 —— 這件事可能與卡巴斯基軟件有些關(guān)聯(lián)���。
為了驗(yàn)證,Ronald Eikenberg 嘗試了 Mozilla Firefox�、Microsoft Edge���、以及 Opera 瀏覽器���,結(jié)果發(fā)現(xiàn)相同的代碼隨處可見�����。
鑒于沒(méi)有安裝可疑的瀏覽器擴(kuò)展程序���,他只能簡(jiǎn)單理解為是卡巴斯基反病毒軟件在操縱當(dāng)前的網(wǎng)絡(luò)流量 —— 在未獲得用戶許可的情況下�����,卡巴斯基僭越了!
在此事曝光前�����,許多人可能只會(huì)在網(wǎng)銀木馬類惡意軟件上觀察到這種行為���,以圖竊取或篡改關(guān)鍵信息(比如悄悄地變更了網(wǎng)銀轉(zhuǎn)賬的收款方)�����。現(xiàn)在的問(wèn)題是 —— 卡巴斯基你到底在干嘛呢?���!
經(jīng)過(guò)對(duì) main.js 腳本展開的一番分析,可知卡巴斯基會(huì)在判別某個(gè)‘干凈’網(wǎng)站鏈接后�����,在地址欄顯示帶有谷歌搜索結(jié)果的綠色圖標(biāo)���。
然而還有一個(gè)小細(xì)節(jié) —— 加載卡巴斯基腳本的地址�,也包含了一段可疑的字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
鏈接加粗部分,顯然屬于某種“通用唯一標(biāo)識(shí)符”(UUID)�。但是作為一款計(jì)算機(jī)安全軟件�����,卡巴斯基要拿這串字符去識(shí)別或追蹤誰(shuí)呢?
擴(kuò)展擴(kuò)展驗(yàn)證���,Ronald Eikenberg 在其它計(jì)算機(jī)上也安裝了卡巴斯基軟件,發(fā)現(xiàn)它確實(shí)會(huì)向其它系統(tǒng)同樣注入 JavaScript 代碼�、并且留意到了一個(gè)至關(guān)重要的區(qū)別�。
源地址中的 UUID�����,在每臺(tái)系統(tǒng)上都是不一樣的�。這些 ID 屬于持久性的標(biāo)識(shí)�,即便過(guò)了幾天也不會(huì)發(fā)生改變���。顯然���,每臺(tái)計(jì)算機(jī)都會(huì)擁有自己的永久分配 ID ���。
而將這串 UUID 直接注入每個(gè)網(wǎng)站的 HTML 源碼�����,絕對(duì)是一個(gè)糟糕頭頂?shù)闹饕狻?/strong>因?yàn)樵诰W(wǎng)站域上下文環(huán)境中運(yùn)行的其它腳本�����,都可以隨時(shí)訪問(wèn)整個(gè) HTML 源,甚至讀取卡巴斯基這串 UUID 。
這意味著任何網(wǎng)站都可以讀取并追蹤卡巴斯基軟件用戶的網(wǎng)絡(luò) ID�,只要另一個(gè)網(wǎng)站檢測(cè)到了同一字符串�����,就能認(rèn)定其訪問(wèn)源來(lái)自同一臺(tái)計(jì)算機(jī)。
基于這種假設(shè),卡巴斯基顯然是打造了一套危險(xiǎn)的追蹤機(jī)制�,甚至比傳統(tǒng)的 cookie 更加極端 —— 就算你切換了瀏覽器�����,也會(huì)被追蹤并識(shí)別到在使用同一臺(tái)設(shè)備、讓瀏覽器的隱身模式形同虛設(shè)���。
為避免更多用戶陷入風(fēng)險(xiǎn)���,c't 決定立即向卡巴斯基通報(bào)這一發(fā)現(xiàn)���、并且迅速得到了對(duì)方的答復(fù),稱其已著手調(diào)查此事。
大約兩周后���,卡巴斯基莫斯科總部對(duì)這一案例進(jìn)行了分析,并證實(shí)了 c't 的這一發(fā)現(xiàn)。
該問(wèn)題影響所有使用 Windows 版卡巴斯基安全軟件的消費(fèi)者版本,從入門機(jī)的免費(fèi)版���、互聯(lián)網(wǎng)安全套裝(KIS)、直至全面防護(hù)版(Total Security)。
此外���,卡巴斯基小企業(yè)安全版(Small OfficeSecurity)也受到了該問(wèn)題的影響,導(dǎo)致數(shù)百萬(wàn)用戶暴露于風(fēng)險(xiǎn)之中。
Heise.de 調(diào)查顯示�,卡巴斯基從 2015 年秋發(fā)布的“2016”系列版本中引入了該漏洞�����。但既然普通網(wǎng)友都能在無(wú)意間發(fā)現(xiàn)這個(gè)漏洞,包括營(yíng)銷機(jī)構(gòu)在內(nèi)的第三方,也極有可能早就展開了野外利用�。
即便如此���,卡巴斯基仍表示這種攻擊過(guò)于復(fù)雜�����,因此發(fā)生的概率極低,對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)有些無(wú)利可圖�。
然而 Heise.de 并不贊同該公司的說(shuō)法�����,畢竟許多企業(yè)都在努力監(jiān)視每一位網(wǎng)站來(lái)訪者,這個(gè)持續(xù)四年的漏洞,很有可能是其展開間諜活動(dòng)的一個(gè)福音。
萬(wàn)幸的是���,在認(rèn)識(shí)到事情的嚴(yán)重性之后,卡巴斯基終于聽從了爆料者的要求,在上月發(fā)布了 CVE-2019-8286 安全公告���,且相關(guān)補(bǔ)丁也已經(jīng)打上。
當(dāng)然,為了安全起見,您也可禁用卡巴斯基軟件中提供的相關(guān)功能:
點(diǎn)擊主窗口左下角的齒輪(設(shè)置)圖標(biāo) -> 點(diǎn)擊‘其它 / 網(wǎng)絡(luò)’-> 然后取消‘流量處理’下的‘將腳本注入 Web 流量以與網(wǎng)頁(yè)交互’選項(xiàng)。
述
因業(yè)務(wù)需要,需監(jiān)控某web站點(diǎn)目錄下所有文件是否被惡意篡改(文件內(nèi)容被改了)�,如果有就打印改動(dòng)的文件名(發(fā)郵件),定時(shí)任務(wù)每3分鐘執(zhí)行一次�����。
下面簡(jiǎn)單介紹下實(shí)現(xiàn)過(guò)程�����。
一���、生成md5驗(yàn)證文件
1�����、文件的校驗(yàn)文件
find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum
2、目錄的校驗(yàn)文件
tree /var/html/www/ -d >/tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum
二�、郵箱
Sendmail配置發(fā)送郵件的郵箱認(rèn)證信息
vi /etc/mail.rc
--- 增加如下內(nèi)容 ---
set from=yourname@your-domain.com
set smtp=mail.your-domain.com
set smtp-auth-user=yourname
set smtp-auth-password=yourpasswd
set smtp-auth=login
三�、腳本內(nèi)容
#!/bin/bash
#############################################################
# File Name: web_file_check.sh
# 前提: yum install -y tree
#############################################################
?
Dir=/tmp/check/
Web_Dir=/tmp/html/
Check_File1=/tmp/check/web_file_check.md5sum
Check_File2=/tmp/check/web_dir_check.md5sum
Check_Dir=/tmp/check/web_dir_check.txt
Check_Out=/tmp/check/check_out.md5sum
Mail_info=/tmp/check/mail.txt
?
Date=`date +%F_%T`
Host_Name=`hostname`
Host_IP=`hostname -I`
Email_Addr=huangwb@fslgz.com
?
echo "=========================inital============================"
[ -d $Dir ] || mkdir -p $Dir
if [ ! -f $Check_File1 ]
then
find /tmp/html/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum
elif [ ! -f $Check_File2 ]
then
tree /tmp/html/ -d >/tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum
fi
?
echo "========================check_out============================"
md5sum -c $Check_File1 >$Check_Out 2>/dev/null
Back_num1=$?
tree -d $Web_Dir >$Check_Dir
md5sum -c $Check_File2 &>/dev/null
Back_num2=$?
?
echo "======================開始校驗(yàn)并觸發(fā)告警====================="
if [ $Back_num1 -ne 0 ]
then
echo "發(fā)生主機(jī):$Host_Name 主機(jī)IP地址:$Host_IP" > $Mail_info
echo "在 $Date 的檢測(cè)中發(fā)現(xiàn)以下文件被篡改" >>$Mail_info
echo "==================================================" >>$Mail_info
egrep -i "失敗|failed" $Check_Out >>$Mail_info
echo "==================================================" >>$Mail_info
echo "請(qǐng)盡快登陸服務(wù)器進(jìn)行處理?��。�。? >>$Mail_info
mail -s "【警告】web站點(diǎn)文件被篡改" -a $Check_File1 $Email_Addr <$Mail_info
fi
?
if [ $Back_num2 -ne 0 ]
then
echo "目錄檢測(cè)信息" >$Mail_info
echo "在 $Date 的檢測(cè)中發(fā)現(xiàn)目錄被篡改" >>$Mail_info
mail -s "【警告】web站點(diǎn)目錄被篡改" -a $Check_Dir $Email_Addr<$Check_Dir
fi
?
四���、測(cè)試
刪除文件后執(zhí)行結(jié)果
查看郵件:
覺得有用的朋友多幫忙轉(zhuǎn)發(fā)哦!后面會(huì)分享更多devops和DBA方面的內(nèi)容�,感興趣的朋友可以關(guān)注下~
日���,Akamai安全情報(bào)小組的研究人員發(fā)現(xiàn)黑客“創(chuàng)造性“地篡改電商網(wǎng)站的404頁(yè)面來(lái)竊取用戶的信用卡信息�。(研究人員還發(fā)現(xiàn)另外一種攻擊手法:將代碼隱藏在HTML圖像標(biāo)簽的“onerror”屬性和圖像二進(jìn)制文件中,使其顯示為Meta Pixel代碼片段�����。)
Akamai表示���,此類Magecart盜卡活動(dòng)主要針對(duì)使用Magento和WooCommerce的電商網(wǎng)站,一些食品和零售行業(yè)的知名品牌受到影響。
Akamai在報(bào)告中指出:“Magecart攻擊者利用默認(rèn)的404錯(cuò)誤頁(yè)面來(lái)隱藏和加載惡意卡竊取代碼�,這在之前的活動(dòng)中從未見過(guò)�����。這種隱藏技術(shù)具有高度創(chuàng)新性���,我們?cè)谥暗腗agecart活動(dòng)中從未見過(guò)�����。“
研究者發(fā)現(xiàn)���,偽裝成元像素代碼片段或者隱藏在受感染結(jié)賬頁(yè)面上的瀏覽器加載程序會(huì)向名為“icons”的相對(duì)路徑發(fā)起獲取請(qǐng)求,但由于網(wǎng)站上不存在該路徑�,因此該請(qǐng)求會(huì)導(dǎo)致“404NotFound”錯(cuò)誤頁(yè)面�����。
該加載程序包含一個(gè)正則表達(dá)式匹配,用于在404頁(yè)面返回的HTML中搜索特定字符串���,研究人員對(duì)該字符串解碼發(fā)現(xiàn)了一個(gè)隱藏在所有404頁(yè)面中的JavaScript瀏覽器(下圖):
研究者指出,篡改404頁(yè)面的方法有助于逃避網(wǎng)絡(luò)流量監(jiān)控工具的檢測(cè)���,因?yàn)樵撜?qǐng)求看起來(lái)像是良性的圖像獲取事件。然而�,解碼Base64字符串會(huì)泄露個(gè)人和信用卡信息�。
篡改404頁(yè)面的案例也凸顯了信用卡盜竊攻擊不斷變化的策略和攻擊手段�����,網(wǎng)站管理員越來(lái)越難以在受感染的網(wǎng)站上找到惡意代碼并對(duì)其進(jìn)行清理���。
參考鏈接:
https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer
