WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc đang sử dụng Google Analytics để đánh cắp thông tin thẻ tín dụng
Tin tặc đang sử dụng máy chủ của Google và nền tảng Google Analytics để vượt qua Chính sách bảo mật nội dung (CSP) của các trang web thương mại điện tử, đánh cắp thông tin thẻ tín dụng của khách hàng.
Chiến thuật này lợi dụng thực tế là trong cấu hình CSP của các trang web thương mại điện tử có sử dụng dịch vụ phân tích web của Google, các tên miền Google Analytics được liệt kê thuộc danh sách trắng (CSP là một tiêu chuẩn bảo mật được sử dụng để ngăn chặn việc thực thi mã không tin cậy trên các ứng dụng web).
Vượt qua CSP bằng Google Analytics
Ngày 17 tháng 6, PerimeterX đã tìm thấy và chứng minh "một lỗ hổng trong chức năng của CSP khi sử dụng CSP để chặn hành vi trộm cắp thông tin đăng nhập, PII và dữ liệu thanh toán như thẻ tín dụng".
Thay vì chặn các cuộc tấn công dựa trên tiêm nhiễm mã độc, việc cho phép thực thi các tập lệnh Google Analytics lại giúp kẻ tấn công đánh cắp dữ liệu thông qua một tập lệnh skimmer web được thiết kế đặc biệt để mã hóa dữ liệu đánh cắp và gửi nó đến bảng điều khiển GA của kẻ tấn công.
Nhận biết và chặn các tập lệnh này "yêu cầu các giải pháp hiển thị có thể phát hiện truy cập và lọc dữ liệu nhạy cảm của người dùng (trong trường hợp này là địa chỉ email và mật khẩu)".
Ngoài GA, bất kì tên miền được liệt kê trong danh sách trắng khác cũng có thể bị sử dụng như một kênh trích xuất dữ liệu nếu tên miền đó đã bị xâm nhập hoặc cung cấp quản lý dựa trên tài khoản như GA.
Theo thống kê của PerimeterX, trong số ba triệu tên miền Internet hàng đầu, chỉ có 210.000 tên miền đang sử dụng CSP. 17.000 trang web có thể truy cập thông qua các tên miền đó được liệt kê trong danh sách trắng của google-analytics.com.
Theo số liệu của BuildWith, hơn 29 triệu trang web hiện đang sử dụng các dịch vụ phân tích web GA của Google, Yahoo Analytics và Yandex Metrika cũng được sử dụng bởi hơn 7 triệu và 2 triệu trang.
CSP đã bị vượt qua trên hàng chục trang web
Nhóm nghiên cứu của Sansec tiết lộ từ ngày 17/3 họ đang theo dõi một chiến dịch Magecart lạm dụng vấn đề này để vượt qua CSP trên vài chục trang web thương mại điện tử sử dụng Google Analytics.
Kẻ xấu đằng sau chiến dịch đã đảm bảo rằng tất cả các thành phần của chiến dịch đều sử dụng máy chủ của Google khi chuyển skimmer web thẻ tín dụng đến các trang web mục tiêu thông qua nền tảng lưu trữ mở của Google firebaseststorage.googleapis.com.
Trình tải mà kẻ tấn công sử dụng để tiêm skimmer web có nhiều lớp che giấu và nó được sử dụng để tải tài khoản GA do kẻ tấn công kiểm soát vào một iFrame tạm thời. Sau khi tải, skimmer sẽ giám sát trang web bị xâm nhập để lấy bất kỳ thông tin thẻ tín dụng, mã hóa và tự động gửi đến bảng điều khiển GA của kẻ tấn công. Những kẻ tấn công sau đó có thể thu thập dữ liệu thẻ tín dụng bị đánh cắp từ bảng điều khiển Google Analytics miễn phí và giải mã bằng khóa mã hóa XOR.
Theo Sansec, nếu khách hàng của cửa hàng trực tuyến bị xâm nhập mở Developer Tools của trình duyệt, họ sẽ được gắn cờ và skimmer sẽ tự động bị vô hiệu hóa.
Theo nhà nghiên cứu của PerimeterX, vấn đề này có thể được khắc phục bằng cách thêm ID vào URL hoặc tên miền phụ để cho phép quản trị viên đặt quy tắc CSP hạn chế việc lọc dữ liệu sang các tài khoản khác. Một cách khác là thực thi proxy XHR. Điều này về cơ bản sẽ tạo ra một WAF phía khách hàng có thể thực thi chính sách về nơi trường dữ liệu cụ thể được phép truyền đi.
Chiến thuật này lợi dụng thực tế là trong cấu hình CSP của các trang web thương mại điện tử có sử dụng dịch vụ phân tích web của Google, các tên miền Google Analytics được liệt kê thuộc danh sách trắng (CSP là một tiêu chuẩn bảo mật được sử dụng để ngăn chặn việc thực thi mã không tin cậy trên các ứng dụng web).
Vượt qua CSP bằng Google Analytics
Ngày 17 tháng 6, PerimeterX đã tìm thấy và chứng minh "một lỗ hổng trong chức năng của CSP khi sử dụng CSP để chặn hành vi trộm cắp thông tin đăng nhập, PII và dữ liệu thanh toán như thẻ tín dụng".
Thay vì chặn các cuộc tấn công dựa trên tiêm nhiễm mã độc, việc cho phép thực thi các tập lệnh Google Analytics lại giúp kẻ tấn công đánh cắp dữ liệu thông qua một tập lệnh skimmer web được thiết kế đặc biệt để mã hóa dữ liệu đánh cắp và gửi nó đến bảng điều khiển GA của kẻ tấn công.
Nhận biết và chặn các tập lệnh này "yêu cầu các giải pháp hiển thị có thể phát hiện truy cập và lọc dữ liệu nhạy cảm của người dùng (trong trường hợp này là địa chỉ email và mật khẩu)".
Ngoài GA, bất kì tên miền được liệt kê trong danh sách trắng khác cũng có thể bị sử dụng như một kênh trích xuất dữ liệu nếu tên miền đó đã bị xâm nhập hoặc cung cấp quản lý dựa trên tài khoản như GA.
Theo thống kê của PerimeterX, trong số ba triệu tên miền Internet hàng đầu, chỉ có 210.000 tên miền đang sử dụng CSP. 17.000 trang web có thể truy cập thông qua các tên miền đó được liệt kê trong danh sách trắng của google-analytics.com.
Theo số liệu của BuildWith, hơn 29 triệu trang web hiện đang sử dụng các dịch vụ phân tích web GA của Google, Yahoo Analytics và Yandex Metrika cũng được sử dụng bởi hơn 7 triệu và 2 triệu trang.
CSP đã bị vượt qua trên hàng chục trang web
Nhóm nghiên cứu của Sansec tiết lộ từ ngày 17/3 họ đang theo dõi một chiến dịch Magecart lạm dụng vấn đề này để vượt qua CSP trên vài chục trang web thương mại điện tử sử dụng Google Analytics.
Kẻ xấu đằng sau chiến dịch đã đảm bảo rằng tất cả các thành phần của chiến dịch đều sử dụng máy chủ của Google khi chuyển skimmer web thẻ tín dụng đến các trang web mục tiêu thông qua nền tảng lưu trữ mở của Google firebaseststorage.googleapis.com.
Trình tải mà kẻ tấn công sử dụng để tiêm skimmer web có nhiều lớp che giấu và nó được sử dụng để tải tài khoản GA do kẻ tấn công kiểm soát vào một iFrame tạm thời. Sau khi tải, skimmer sẽ giám sát trang web bị xâm nhập để lấy bất kỳ thông tin thẻ tín dụng, mã hóa và tự động gửi đến bảng điều khiển GA của kẻ tấn công. Những kẻ tấn công sau đó có thể thu thập dữ liệu thẻ tín dụng bị đánh cắp từ bảng điều khiển Google Analytics miễn phí và giải mã bằng khóa mã hóa XOR.
Theo Sansec, nếu khách hàng của cửa hàng trực tuyến bị xâm nhập mở Developer Tools của trình duyệt, họ sẽ được gắn cờ và skimmer sẽ tự động bị vô hiệu hóa.
Theo nhà nghiên cứu của PerimeterX, vấn đề này có thể được khắc phục bằng cách thêm ID vào URL hoặc tên miền phụ để cho phép quản trị viên đặt quy tắc CSP hạn chế việc lọc dữ liệu sang các tài khoản khác. Một cách khác là thực thi proxy XHR. Điều này về cơ bản sẽ tạo ra một WAF phía khách hàng có thể thực thi chính sách về nơi trường dữ liệu cụ thể được phép truyền đi.
Theo Bleeping Computer