امنیت

کدهای مخرب در سرورهای گوگل

یکی از استفاده هایی که از گوگل درایو می شه کرد، انتشار یک سایت استاتیکه. برای این کار باید کل فایل های مورد نیاز (html, javascript, css, etc) رو در فولدرهای مرتبط آپلود کنیم.

اکنون یک شیوه ای از توزیع کدهای مخرب کشف شده که هکر کد جاوا اسکریپت رو روی گوگل درایو نگهداری می کنه و لینکش رو در سایت های عادی وارد می کنه. با توجه به استفاده از سیستم رمزنگاری گوگل، سیستم های تشخیص نفوذ (IDS) قادر به شناسایی این مورد نبوده و مراجعه کنندگان به سایت، به صفحه شامل کدهای مخرب منتقل می شوند.

تصویری از کد مخرب

تصویری از کد مخرب

پیش از اینکه کد مخرب رو بررسی کنیم بذارید نگاهی به سایت قربانی بندازیم. در تصویر زیر می بینید که کد جاوا اسکریپتی که سورس آن در https://googledrive.com/host/{uniqueID} قرار دارد به سایت تزریق شده.

سایت قربانی

سایت قربانی

با چک کردن فایل جاوا اسکریت در سایت ویروس توتال می بینیم که از ۴۷ تست مختلف، ۱۷ تا که اکثر آنتی ویروس های معروف رو شامل می شه، کد رو مخرب تشخیص می دهند.

آنالیز کد جاوا اسکریپت

آنالیز کد جاوا اسکریپت

کدهای مخرب معمولا برای جلوگیری از شناسایی از شیوه های متفاوتی برای obfuscate یا مبهم کردن استفاده می کنند. برای بررسی کد از ابزار  Revelo (ابزاری است برای آنالیز کدهای جاوا اسکریپت) استفاده می کنیم و می تونیم پی ببریم که این کد کاربران رو به آدرس زیر منتقل می کنه:

وقتی این دامنه رو با سرویس مرورگر امن گوگل چک کنیم می بینیم که در آخرین بررسی ها ۱۲۱ اکسپلویت داشته و ۵۴ تروجان.

در تصویر زیر خواهید دید که با مراجعه به یک صفحه عادی که شامل لینک به این کد مخرب جاوا اسکریپت است، قربانی به چه صفحه هایی منتقل خواهد شد.

استفاده از ابزار فیدلر برای دنبال کردن مسیر هک

استفاده از ابزار فیدلر برای دنبال کردن مسیر هک

می بینید که با بازدید از صفحه www.{removed}/forum.php و فراخوانی کد جاوا اسکریپت، قربانی ابتدا به سایت توزیع کننده منتقل می شه و سپس به صفحه هایی که شامل کدهای اصلی برای هک کاربرهاست.

اگر میخواید بیشتر در مورد اکسپلویت های استفاده شده در صفحه هک کننده بدونید می تونید به این پست مراجعه کنید.

در بررسی های بیشتر کشف شد که هکر در اقدامات بعدی با استفاده از شیوه های obfuscate یا مبهم کردن، همون تزریق کد جاوای اولیه رو غیرقابل خوندن کرده. می تونید تصویر زیر رو با تصویر دوم همین پست مقایسه کنید

تزریق کد غیر قابل شناسایی

تزریق کد به شیوه متفاوت

که با برگردوندش به کاراکترهای اصلی، به کد زیر می رسیم.

کد مخرب جدید

کد مخرب جدید

می بینید که از آدرس دیگه ای استفاده شده اما پروفایل گوگل درایو همچنان همون قبلیه. هکر با تغییر آدرس کد مخرب سعی داره که از شناسایی اون جلوگیری کنه. در زیر آدرس های دیگه همین کد رو در پروفایل هکر می بینید:

با بررسی بیشتر می شه فهمید که گوگل با بررسی فایل هایی که به صورت عمومی منتشر می شند و در صورت تشخیص مخرب بودن فایل، دسترسی به اون رو محدود می کنه هرچند فایل رو حذف نمی کنه.

7virus

هرچند که اقدام گوگل در چک کردن فایل های عمومی قابل تقدیره اما زحمت چندانی برای هکر نداره که با شیوه های مختلف مثلا تغییر و یا تیکه تیکه کردن کد، از این بررسی ها فرار کنه.

این شیوه حمله از اعتماد وبمسترها به گوگل استفاده می کنه. به خاطر به کاربردن سرویس های گوگل مثل Analytics و AdSense در بسیاری از سایت ها، کمتر امکان داره که کسی به حضور کدی با آدرس گوگل در صفحه شک کنه.

منبع

Standard