WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc gia tăng sử dụng cryptominer mã hóa trên WebAssembly
Đã có 207 trang web bị nhiễm mã độc được thiết kế để lợi dụng WebAssembly (Wasm) trên trình duyệt nhằm khởi chạy công cụ khai thác tiền điện tử .
Từ việc máy tính của khách hàng chạy rất chậm mỗi khi điều hướng đến cổng WordPress riêng, công ty bảo mật web Sucuri tiến hành điều tra và phát hiện tệp theme bị xâm phạm để cài mã JavaScript độc hại từ máy chủ từ xa – hxxps://wm.bmwebm[.]org/auto.js - được tải bất cứ khi nào trang web được truy cập.
“Giải mã nội dung của auto.js tiết lộ chức năng của một công cụ đào tiền điện tử, công cụ này bắt đầu khai thác khi khách truy cập vào trang web bị xâm phạm”, Sucuri cho biết.
Hơn nữa, mã auto.js sử dụng WebAssembly để chạy mã nhị phân cấp thấp trực tiếp trên trình duyệt.
WebAssembly, được hỗ trợ bởi tất cả các trình duyệt chính, là một định dạng lệnh nhị phân cung cấp cải tiến về hiệu suất so với JavaScript, cho phép các ứng dụng được viết bằng các ngôn ngữ như C, C++ và Rust được biên dịch thành định dạng assembly (hợp ngữ) cấp thấp có thể chạy trực tiếp trên trình duyệt.
“Trên trình duyệt web, Wasm chạy trong môi trường thực thi hộp cát riêng. Vì nó đã được biên dịch thành định dạng assembly, trình duyệt có thể đọc và thực thi các hoạt động của nó với tốc độ mà JavaScript không thể sánh được”.
Miền do hacker kiểm soát, wm.bmwebm[.]org, được cho là đã đăng ký vào tháng 1/2021, nghĩa là đã hoạt động hơn 1,5 năm mà không thu hút bất kỳ chú ý nào.
Ngoài ra, miền còn có khả năng tự động tạo các tệp JavaScript giả mạo, là các tệp tưởng như vô hại hoặc các dịch vụ hợp pháp như của Google Ads (ví dụ: adservicegoogle.js, wordpresscore.js và facebook-sdk.js), để che giấu hành vi độc hại. Chức năng này cũng giúp kẻ xấu đưa các tập lệnh vào nhiều vị trí trên trang web bị xâm phạm và vẫn duy trì vẻ ngoài mà các tập lệnh 'thuộc về' bên trong môi trường.
Đây không phải là lần đầu tiên khả năng chạy các ứng dụng hiệu suất cao của WebAssembly trên các trang web dấy lên những dấu hiệu tiềm ẩn về an ninh.
Ngoài việc định dạng nhị phân của Wasm gây trở ngại cho việc phát hiện và phân tích bằng các công cụ phòng chống virus thông thường, kỹ thuật này có thể ‘mở cửa’ cho các cuộc tấn công dựa trên trình duyệt phức tạp hơn như e-skimming trong thời gian dài.
Phức tạp hơn nữa là việc không kiểm tra tính toàn vẹn của các mô-đun Wasm, khiến khó xác định một ứng dụng có bị giả mạo hay không.
Một nghiên cứu năm 2020 của nhóm học giả từ Đại học Stuttgart và Đại học Bundeswehr Munich đã phát hiện ra các vấn đề an ninh của WebAssembly, có thể bị lợi dụng để ghi vào bộ nhớ tùy ý, ghi đè dữ liệu nhạy cảm và chiếm quyền điều khiển luồng.
Nghiên cứu tiếp theo vào tháng 11 năm 2021 dựa trên bản biên dịch của 4.469 chương trình C có lỗ hổng tràn bộ đệm sang Wasm cho thấy việc biên dịch một chương trình C hiện có sang WebAssembly mà không có các biện pháp phòng ngừa bổ sung có thể cản trở tính an ninh của chương trình này.
“Giải mã nội dung của auto.js tiết lộ chức năng của một công cụ đào tiền điện tử, công cụ này bắt đầu khai thác khi khách truy cập vào trang web bị xâm phạm”, Sucuri cho biết.
Hơn nữa, mã auto.js sử dụng WebAssembly để chạy mã nhị phân cấp thấp trực tiếp trên trình duyệt.
WebAssembly, được hỗ trợ bởi tất cả các trình duyệt chính, là một định dạng lệnh nhị phân cung cấp cải tiến về hiệu suất so với JavaScript, cho phép các ứng dụng được viết bằng các ngôn ngữ như C, C++ và Rust được biên dịch thành định dạng assembly (hợp ngữ) cấp thấp có thể chạy trực tiếp trên trình duyệt.
“Trên trình duyệt web, Wasm chạy trong môi trường thực thi hộp cát riêng. Vì nó đã được biên dịch thành định dạng assembly, trình duyệt có thể đọc và thực thi các hoạt động của nó với tốc độ mà JavaScript không thể sánh được”.
Miền do hacker kiểm soát, wm.bmwebm[.]org, được cho là đã đăng ký vào tháng 1/2021, nghĩa là đã hoạt động hơn 1,5 năm mà không thu hút bất kỳ chú ý nào.
Ngoài ra, miền còn có khả năng tự động tạo các tệp JavaScript giả mạo, là các tệp tưởng như vô hại hoặc các dịch vụ hợp pháp như của Google Ads (ví dụ: adservicegoogle.js, wordpresscore.js và facebook-sdk.js), để che giấu hành vi độc hại. Chức năng này cũng giúp kẻ xấu đưa các tập lệnh vào nhiều vị trí trên trang web bị xâm phạm và vẫn duy trì vẻ ngoài mà các tập lệnh 'thuộc về' bên trong môi trường.
Đây không phải là lần đầu tiên khả năng chạy các ứng dụng hiệu suất cao của WebAssembly trên các trang web dấy lên những dấu hiệu tiềm ẩn về an ninh.
Ngoài việc định dạng nhị phân của Wasm gây trở ngại cho việc phát hiện và phân tích bằng các công cụ phòng chống virus thông thường, kỹ thuật này có thể ‘mở cửa’ cho các cuộc tấn công dựa trên trình duyệt phức tạp hơn như e-skimming trong thời gian dài.
Phức tạp hơn nữa là việc không kiểm tra tính toàn vẹn của các mô-đun Wasm, khiến khó xác định một ứng dụng có bị giả mạo hay không.
Một nghiên cứu năm 2020 của nhóm học giả từ Đại học Stuttgart và Đại học Bundeswehr Munich đã phát hiện ra các vấn đề an ninh của WebAssembly, có thể bị lợi dụng để ghi vào bộ nhớ tùy ý, ghi đè dữ liệu nhạy cảm và chiếm quyền điều khiển luồng.
Nghiên cứu tiếp theo vào tháng 11 năm 2021 dựa trên bản biên dịch của 4.469 chương trình C có lỗ hổng tràn bộ đệm sang Wasm cho thấy việc biên dịch một chương trình C hiện có sang WebAssembly mà không có các biện pháp phòng ngừa bổ sung có thể cản trở tính an ninh của chương trình này.
Theo The Hacker News
Chỉnh sửa lần cuối: