Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,281
- Points
- 113
Глобальная пандемия вызвала резкий рост онлайн-трафика, который предоставляет злоумышленникам благодатную почву для выполнения растущего числа более изощренных атак на стороне клиента. Например, атаки в стиле Magecart используются для кражи конфиденциальной информации путем просмотра данных либо через собственный JavaScript, либо через сторонний объект (также известный как цепочка поставок).
Доступ к личной информации (PII) - не единственная цель злоумышленников, которые используют уязвимости на стороне клиента. Некоторые недавние случаи предоставляют интересную информацию о том, как им также можно злоупотреблять для выполнения ряда мошеннических действий, «похищая» посетителей веб-сайта, используя этих посетителей для выполнения определенных действий, которые полностью не обнаруживаются.
Мы называем такое поведение «похищением JavaScript» и определяем его как внедрение JavaScript в конкретный веб-сайт для использования входящего трафика. Это делается путем использования машин посетителей для выполнения различных действий в фоновом режиме, обычно незаметно для посетителей, с целью получения прибыли.
Ниже приведены два недавних реальных примера использования JavaScript Leeching:
Опасный и простой в использовании инструмент
В случае с Coinhive именно владельцы веб-сайтов реализовали JavaScript. Не будет ничего удивительного в том, что злоумышленники могут также использовать уязвимые веб-сайты, внедряя в них JavaScript. В своей статье Трой объясняет, насколько это просто. Это подчеркивает основную проблему JavaScript: его очень легко использовать и эксплуатировать злоумышленники, но его сложно обнаружить и контролировать группы безопасности.
Проблемы сторонних сервисов
Для служб безопасности обработка угроз со стороны клиента может быть довольно сложной и обременительной. Сегодня на веб-сайтах работают десятки сторонних сервисов, которые выполняются на стороне клиента. Большинство охранных организаций в конечном итоге остаются без внимания к службам, которые они должны защищать. Это непростая задача, поскольку группа безопасности обычно не участвует в цикле разработки. Использование заголовков HTTP Content-Security-Policy - еще один обходной путь, хотя их чрезвычайно сложно реализовать и поддерживать в организации без дополнительных полезных инструментов.
Защита на стороне клиента предотвращает выполнение вредоносного JavaScript на вашем веб-сайте.
Защита на стороне клиента предоставляет командам безопасности видимость служб JavaScript, выполняемых на вашем веб-сайте в любой момент. Он автоматически сканирует существующие и добавленные сервисы, устраняя риск того, что они станут слепым пятном с точки зрения безопасности. Imperva выполняет сложную часть политики безопасности контента для вашей организации, делая ее жизнеспособной частью смягчения последствий. Оценка риска домена добавляет рейтинг надежности для каждой службы, что упрощает для безопасности определение характера каждой службы и определение того, следует ли разрешить ее запуск или нет. Упрощенные действия позволяют разрешить одобренные домены и заблокировать неутвержденные. Защита на стороне клиента гарантирует, что конфиденциальная информация ваших клиентов не будет передана в неавторизованные места и что никакие мошенники не будут использовать ваших посетителей.
Доступ к личной информации (PII) - не единственная цель злоумышленников, которые используют уязвимости на стороне клиента. Некоторые недавние случаи предоставляют интересную информацию о том, как им также можно злоупотреблять для выполнения ряда мошеннических действий, «похищая» посетителей веб-сайта, используя этих посетителей для выполнения определенных действий, которые полностью не обнаруживаются.
Мы называем такое поведение «похищением JavaScript» и определяем его как внедрение JavaScript в конкретный веб-сайт для использования входящего трафика. Это делается путем использования машин посетителей для выполнения различных действий в фоновом режиме, обычно незаметно для посетителей, с целью получения прибыли.
Ниже приведены два недавних реальных примера использования JavaScript Leeching:
- Фальшивый трафик и рекламное мошенничество: Лаборатория исследования угроз Imperva раскрыла полноценную операцию по мошенничеству с рекламой, использующую клиентскую сторону для продажи трафика. Команда обнаружила расширение Chrome, которое использовалось для крупномасштабного мошенничества с рекламой, при котором мошенники продавали трафик на определенные веб-сайты. Внедряя вредоносный JavaScript в целевой домен (в идеале на сайт с большим объемом трафика), расширение могло «просачиваться» на посетителей этого домена и генерировать трафик на веб-сайты, оплачивающие их «услуги». Команда определила набор доменов с трафиком, поступающим только от клиентов Chrome, в то время как обычный трафик на сам веб-сервер генерировался несколькими клиентами и IP-адресами. Такое поведение привело к обнаружению расширения, внедрявшего вредоносный JavaScript. Некоторые обнаруженные вредоносные ссылки: https: // sfops [.] Ru, https:
- Криптоджекинг: в недавней увлекательной статье Троя Ханта он рассказывает историю домена Coinhive, владельцы которого использовали своих посетителей для сбора монет Monero, даже не подозревая об этом. По сути, их идея монетизации своего веб-сайта вместо показа рекламы своим посетителям заключалась в использовании мощности процессора для майнинга криптовалюты и получения прибыли. Как они этого добились? Конечно, JavaScript. Они использовали очень простой криптомайнер JavaScript в браузере. И хотя он, возможно, не смог бы получить много энергии от одного пользователя, небольшое количество имеет большое значение, если умножить его на количество посетителей. Фактически, компания могла зарабатывать около 250 000 долларов в месяц. Сайт теперь принадлежит Трою и больше не активен.
Опасный и простой в использовании инструмент
В случае с Coinhive именно владельцы веб-сайтов реализовали JavaScript. Не будет ничего удивительного в том, что злоумышленники могут также использовать уязвимые веб-сайты, внедряя в них JavaScript. В своей статье Трой объясняет, насколько это просто. Это подчеркивает основную проблему JavaScript: его очень легко использовать и эксплуатировать злоумышленники, но его сложно обнаружить и контролировать группы безопасности.
Проблемы сторонних сервисов
Для служб безопасности обработка угроз со стороны клиента может быть довольно сложной и обременительной. Сегодня на веб-сайтах работают десятки сторонних сервисов, которые выполняются на стороне клиента. Большинство охранных организаций в конечном итоге остаются без внимания к службам, которые они должны защищать. Это непростая задача, поскольку группа безопасности обычно не участвует в цикле разработки. Использование заголовков HTTP Content-Security-Policy - еще один обходной путь, хотя их чрезвычайно сложно реализовать и поддерживать в организации без дополнительных полезных инструментов.
Защита на стороне клиента предотвращает выполнение вредоносного JavaScript на вашем веб-сайте.
Защита на стороне клиента предоставляет командам безопасности видимость служб JavaScript, выполняемых на вашем веб-сайте в любой момент. Он автоматически сканирует существующие и добавленные сервисы, устраняя риск того, что они станут слепым пятном с точки зрения безопасности. Imperva выполняет сложную часть политики безопасности контента для вашей организации, делая ее жизнеспособной частью смягчения последствий. Оценка риска домена добавляет рейтинг надежности для каждой службы, что упрощает для безопасности определение характера каждой службы и определение того, следует ли разрешить ее запуск или нет. Упрощенные действия позволяют разрешить одобренные домены и заблокировать неутвержденные. Защита на стороне клиента гарантирует, что конфиденциальная информация ваших клиентов не будет передана в неавторизованные места и что никакие мошенники не будут использовать ваших посетителей.
