共计 2874 个字符,预计需要花费 8 分钟才能阅读完成。
译者:晓得创宇 404 实验室翻译组
原文链接:https://www.group-ib.com/blog…
介绍
2020 年 8 月,Group-IB 公布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告形容了网络立功组织 UltraRank 的流动,该组织在五年里胜利攻打了 691 家电子商务商店和 13 家网站服务提供商。
2020 年 11 月,咱们发现了新一轮的 UltraRank 攻打。攻击者没有应用现有的域进行新的攻打,而是改用新的基础架构来存储恶意代码并收集拦挡的领取数据。
在 UltraRank 的新流动中,咱们发现了 12 个被 JavaScript-sniffer 感化的电子商务网站。
这次,JS sniffer 的代码应用了 Radix 含糊解决。而后,攻击者应用了 SnifLite 家族的 sniffer。因为受感化网站的数量绝对较少,攻击者最有可能应用了 CMS 治理面板中的凭据,而这些凭据又可能被恶意软件或暴力攻打毁坏。
在最近的一系列攻打中,UltraRank 模拟非法的 Google Tag Manager 域将恶意代码存储在网站上。钻研发现,攻击者的主服务器由 Media Land LLC 托管,该公司与一家防弹托管公司有分割。
图 1:混同的 sniffer 代码片段
JS Sniffer 代码剖析
至多 2019 年 1 月开始,UltraRank 就开始应用 SnifLite JS Sniffer 系列,过后它被用于攻打 Adverline 广告网络。恶意代码通过指向 hXXp://googletagsmanager[.]co/ 网站上的 JS 文件的链接上载到受感化的网站。该域名假装为 Google 跟踪代码管理器 googletagmanager.com 的非法域。攻击者的网站 hXXp://googletagsmanager[.]co/ 也可用于收集被拦挡的支付卡数据(图 2)。
图 2:deobflusced JS Sniffer 代码片段,其中有一个到 gate 的链接,用于收集被截获的卡信息
图 3 显示了负责拦挡 SnifLite Sniffer 系列中付款信息的函数。数据收集算法基于函数 querySelectorAll,就像该组织先前应用的 FakeLogistics 和 WebRank sniffer 一样。
收集数据后,它将数据写入名为 google.verify.cache.001 的本地贮存中。
图 3:带有用于收集支付卡数据性能的 JS sniffer 代码片段
仅当用户所在页面的以后地址蕴含以下关键字之一(图 4)时,才收集和发送数据:
onepage
checkout
store
cart
pay
panier
kasse
order
billing
purchase
basket
在发送被拦挡的支付卡信息之前,其数据会从本地存储的_google.verify.cache.001 对象中提取,并通过 HTTP GET 申请传输给攻击者。
图 4:JS sniffer 代码片段,该代码具备将收集到的数据发送到攻击者服务器的性能
基础设施剖析
在剖析 sniffer 基础设施时,咱们发现了一个规范 PHP 脚本,这是 UltraRank 所有网站的典型脚本。除了对于发送的申请和服务器的公共信息外,脚本还显示了服务器的实在 IP 地址。剖析时,googletagsmanager[.]共域的 IP 地址为 8.208.16[.]230(ZoomEye 搜寻后果)(AS45102,阿里巴巴(美国)技术有限公司)。同时,真正的服务器地址是 45.141.84[.]239(ZoomEye 搜寻后果)`(图 5),属于 Media Land LLC(AS206728)。Media Land LLC 与一家名为 Yalishanda 的防弹托管公司有关联,该公司为网络犯罪分子提供服务。据揣测,Yalishanda 的服务应用从包含阿里巴巴在内的多家供应商租用的云服务器来托管局部网络犯罪分子的基础设施。
除了服务器 IP 地址,脚本还指定了服务器上网站文件所在的目录 hXXp://googletagsmanager[.]co/:worker。
图 5:脚本输入,其中蕴含无关 googletagsmanager.co 域所在服务器的信息
IP 地址 45.141.84[.]239(ZoomEye 搜寻后果)也链接到网站 hXXp://s-panel[.]su/。在剖析过程中,再次在 UltraRank 根底构造的所有网站上找到了雷同的脚本(图 6)。在这种状况下,所有网站文件所在的目录称为 panel。
图 6:脚本输入,其中蕴含无关域 s -panel.su 所在服务器的信息
除专用服务器外,咱们还检测到一个 SSL 证书 50e15969b10d40388bffbb87f56dd83df14576af。该证书位于 googletagsmanager.co 域和 IP 地址为 45.141.84[.]239 的服务器上,该服务器与 s -panel[.]su 域相关联(图 7)。
图 7:证书 50e15969b10d40388bffbb87f56dd83df14576af
通过对网站 hXXp://s-panel[.]su/ 的进一步剖析,发现了登录表单。据揣测,该网站被攻击者用作 sniffer 控制面板:所有被盗的支付卡数据都收集在面板中,用于之后的浸透和转售。
图 8:在网站 s -panel.su 上找到的登录表单
咱们还发现了 googletagsmanager[.]info 域。2020 年 9 月,此域的 IP 地址与 googletagsmanager[.]co (8.208.96.88)(ZoomEye 搜寻后果)雷同。然而,在撰写本文时,该网站处于非活动状态,尚未发现应用该网站的电子商务感化案例。
Ioc
· googletagsmanager[.]co
· googletagsmanager[.]info
· s-panel[.]su
倡议:
1、对于银行
· 应用支付卡时,告诉用户在线领取过程中可能呈现的危险。
· 如果与您所在银行无关的支付卡已被盗用,请及时处理这些卡,并告诉用户。
2、对于电子商务网站的管理员
· 应用简单且惟一的明码来拜访网站的治理面板和用于治理的任何服务,例如 phpMyAdmin、Adminer。如果可能,请设置两因素身份验证。
· 及时更新软件,包含网站的 CMS。请勿应用过期或不受反对的 CMS 版本。这将有助于缩小服务器受到威逼的危险,并使攻击者更难以下载 Web Shell 和装置恶意代码。
· 定期检查商店中是否存在恶意软件,并对网站进行平安审核。例如,基于 CMS Magento 的网站,您能够应用 Magento 平安扫描工具。
· 应用适当的零碎记录网站上产生的所有更改,记录对网站控制面板和数据库的拜访并跟踪文件更改日期。这有助于检测感化了恶意代码的网站文件,并跟踪对网站或 Web 服务器的未经受权的拜访。
3、对于领取零碎 / 领取银行
· 如果您为电子商务网站提供领取服务,请在承受网站上的在线领取时定期向客户告知根本的平安技术,以及 JavaScript sniffer 的威逼。
· 确保您的服务应用正确配置的安全策略。