امنیت

کدهای مخرب در سرورهای گوگل

یکی از استفاده هایی که از گوگل درایو می شه کرد، انتشار یک سایت استاتیکه. برای این کار باید کل فایل های مورد نیاز (html, javascript, css, etc) رو در فولدرهای مرتبط آپلود کنیم.

اکنون یک شیوه ای از توزیع کدهای مخرب کشف شده که هکر کد جاوا اسکریپت رو روی گوگل درایو نگهداری می کنه و لینکش رو در سایت های عادی وارد می کنه. با توجه به استفاده از سیستم رمزنگاری گوگل، سیستم های تشخیص نفوذ (IDS) قادر به شناسایی این مورد نبوده و مراجعه کنندگان به سایت، به صفحه شامل کدهای مخرب منتقل می شوند.

تصویری از کد مخرب

تصویری از کد مخرب

پیش از اینکه کد مخرب رو بررسی کنیم بذارید نگاهی به سایت قربانی بندازیم. در تصویر زیر می بینید که کد جاوا اسکریپتی که سورس آن در https://googledrive.com/host/{uniqueID} قرار دارد به سایت تزریق شده.

سایت قربانی

سایت قربانی

با چک کردن فایل جاوا اسکریت در سایت ویروس توتال می بینیم که از ۴۷ تست مختلف، ۱۷ تا که اکثر آنتی ویروس های معروف رو شامل می شه، کد رو مخرب تشخیص می دهند.

آنالیز کد جاوا اسکریپت

آنالیز کد جاوا اسکریپت

کدهای مخرب معمولا برای جلوگیری از شناسایی از شیوه های متفاوتی برای obfuscate یا مبهم کردن استفاده می کنند. برای بررسی کد از ابزار  Revelo (ابزاری است برای آنالیز کدهای جاوا اسکریپت) استفاده می کنیم و می تونیم پی ببریم که این کد کاربران رو به آدرس زیر منتقل می کنه:

وقتی این دامنه رو با سرویس مرورگر امن گوگل چک کنیم می بینیم که در آخرین بررسی ها ۱۲۱ اکسپلویت داشته و ۵۴ تروجان.

در تصویر زیر خواهید دید که با مراجعه به یک صفحه عادی که شامل لینک به این کد مخرب جاوا اسکریپت است، قربانی به چه صفحه هایی منتقل خواهد شد.

استفاده از ابزار فیدلر برای دنبال کردن مسیر هک

استفاده از ابزار فیدلر برای دنبال کردن مسیر هک

می بینید که با بازدید از صفحه www.{removed}/forum.php و فراخوانی کد جاوا اسکریپت، قربانی ابتدا به سایت توزیع کننده منتقل می شه و سپس به صفحه هایی که شامل کدهای اصلی برای هک کاربرهاست.

اگر میخواید بیشتر در مورد اکسپلویت های استفاده شده در صفحه هک کننده بدونید می تونید به این پست مراجعه کنید.

در بررسی های بیشتر کشف شد که هکر در اقدامات بعدی با استفاده از شیوه های obfuscate یا مبهم کردن، همون تزریق کد جاوای اولیه رو غیرقابل خوندن کرده. می تونید تصویر زیر رو با تصویر دوم همین پست مقایسه کنید

تزریق کد غیر قابل شناسایی

تزریق کد به شیوه متفاوت

که با برگردوندش به کاراکترهای اصلی، به کد زیر می رسیم.

کد مخرب جدید

کد مخرب جدید

می بینید که از آدرس دیگه ای استفاده شده اما پروفایل گوگل درایو همچنان همون قبلیه. هکر با تغییر آدرس کد مخرب سعی داره که از شناسایی اون جلوگیری کنه. در زیر آدرس های دیگه همین کد رو در پروفایل هکر می بینید:

با بررسی بیشتر می شه فهمید که گوگل با بررسی فایل هایی که به صورت عمومی منتشر می شند و در صورت تشخیص مخرب بودن فایل، دسترسی به اون رو محدود می کنه هرچند فایل رو حذف نمی کنه.

7virus

هرچند که اقدام گوگل در چک کردن فایل های عمومی قابل تقدیره اما زحمت چندانی برای هکر نداره که با شیوه های مختلف مثلا تغییر و یا تیکه تیکه کردن کد، از این بررسی ها فرار کنه.

این شیوه حمله از اعتماد وبمسترها به گوگل استفاده می کنه. به خاطر به کاربردن سرویس های گوگل مثل Analytics و AdSense در بسیاری از سایت ها، کمتر امکان داره که کسی به حضور کدی با آدرس گوگل در صفحه شک کنه.

منبع

Standard
امنیت

سایت های معروف، شما را تعقیب می کنند

همگی تو فیلم های پلیسی دیدیم که یه نفر راه میافته دنبال یکی دیگه و از جاهایی که می ره و آشناهایی که داره سعی می کنه شناساییش کنه و خونه اش رو پیدا کنه، حتی اگه کارت شناساییش رو نبینه. همین کار هم در دنیای دیجیتال اتفاق می افته. سایت ها نیاز ندارند تا IP شما رو بدونن تا شناساییتون کنند. حتی با استفاده از پراکسی هم امکان لو رفتن هویت کاربرها وجود داره.

track

اگر از ابزارهای آنالیز سایت مثل گوگل آنالیتیکز یا پیویک استفاده کرده باشید دیدی که با ست کردن کوکی، این ابزارها می تونن رفتار مراجعه کننده ها به سایت شما رو شناسایی کنند. به شما بگن کابر از کجا به سایت شما اومده و چه صفحهه هایی رو دیده، چقدر وقت گذاشته تو سایت شما و از کدوم صفحه خارج شده. حتی IP و نام و نسخه مرورگر و سیستم عامل رو هم به شما می گه.

کاربرها برای حفظ حریم خصوصیشون می تونن به سایت ها بگن که من رو تعقیب نکن. با یه تگ در Header ارسالی به سایت و اعلام Do Not Track سایت موظفه مطابق قوانین اقدام کرده و اطلاعات وبگردی شما رو ذخیره نکنه. شاید دیده باشید برخی سایت ها مثل سایت ubuntu به مراجعه کننده می گن که چه کوکی هایی رو توی مرورگر کاربر ذخیره می کنند تا اون حق و حقوق خودش رو بدونه. اما بعضی سایت ها علیرغم خواست کاربر، قوانین رو نقض کرده و شروع به جمع آوری اطلاعات اون می کنن.

کارشناسان امنیتی بریتانیایی در یک بررسی متوجه شدند که ۱۴۵ سایت از مجموع ۱۰ هزار سایت برتر اینترنت از اسکریپت های مخفی برای به دست آوردن اطلاعات دستگاه کاربر از طریق مرورگر استفاده می کنند. یافته های نشون می ده استفاده از این ابزارهای غیرقانونی، گسترده تر از اونیه که پیش از این تصور می شد.

شیوه های استفاده شده برای اثرانگشت برداری از کاربران مجازی شامل جمع آوری اطلاعات دستگاه مورد استفاده می شه. اطلاعاتی مثل سایز مانیتور و رزولوشن، نام دستگاه، نرم افزرها و پلاگین های نصب شده و فونت های نصب شده. تحقیقات موسسه Electronic Frontier Foundation (EFF) در سال ۲۰۱۰ نشون می ده که ترکیب این اطلاعات تقریبا یکه بوده و می تونه به جای کوکی ها برای تعقیب کاربران مورد استفاده قرار بگیره. فلش پلیر و جاوا اسکریپت دو هدف عمده جهت شناسایی دستگاه اند.

تحقیقات نشان داده برخی از این ۱۴۵ سایت گفته شده از شی های فلش پلیری استفاده می کنند که حتی اگر مراجعه کننده از پراکسی استفاده کرده باشه، منجر به شناسایی IP اصلی کاربر می شه. همچنین در این تحقیقات مشخص شد که ۴۰۴ سایت از ۱ میلیون سایت برتر از جاوا اسکریپت برای شناسایی دستگاههایی استفاده می کنند که از فلش پشتیبانی نمی کنند یا فلش را غیرفعال کرده اند. یکی از روش های استفاده شده توسط این اسکریپت ها، یافتن فونت های سیستم با استفاده از ارتفاع و طول رشته های متنی است که به صورت مخفی در صفحات استفاده می شوند.

این تحقیقات منجر به شناسایی ۱۶ ابزار جدید شد که توسط سایت ها به کار گرفته می شود. همچنین مشخص شد که این سایت ها با وجود اعلام کاربر برای تعقیب نشدن با فعال کردنDo Not Track (DNT) HTTP header ، باز هم این کار را انجام می دهند.

محققین Tor Browser و Firegloves رو هم بررسی کردند. با وجود اینکه این دو ابزار برای حفظ حریم خصوصی و جلوگیری از همین ابزارها آماده شده اند اما مشخص شد که برخی نقص ها باعث افشا شدن هویت کاربران این ابزارها خواهد شد.

این محققان برای کمک به کاربران و محققان دیگه به زودی ابزاری رو به صورت رایگان در دسترس عموم خواهند گذاشت که با اون میتونید هر سایتی رو برای پیدا کردن ابزارهای مخفی گفته شده، اسکن کنید. برای جزییات بیشتر می تونید به این آدرس مراجعه کنید

منبع

Standard