【译】Magecart 组织是如何入侵英国航空公司并窃取大量客户数据的

xiannv  2264天前

9月6日,英国航空公司宣布遭遇黑客攻击,导致客户数据被盗。在接受BBC采访时,该公司指出,约有380,000名客户可能受到影响,被盗信息包括个人和付款信息,但不包括护照信息。英国航空公司在其网站上发表了一篇文章,解释了该事件的细节,尽可能多的回答了客户的问题。技术细节很少,但包括以下信息:

  • 通过其主要网站付款的受到了影响
  • 通过其移动应用付款的受到了影响
  • 付款受影响时间从2018年8月21日BST 22:58到2018年9月5日BST 21:45

该报告还非常清楚地表明,信息是从英国航空公司网站和移动应用程序中窃取的,但未提及任何关于攻击的其他信息。由于这些报告仅涵盖直接从付款表中窃取的客户数据,我们立即怀疑一个组织:Magecart。

最近,当Ticketmaster UK报告破坏行为时,发生了同样类型的攻击,之后RiskIQ发现了整个事件的踪迹。由于我们抓取互联网并捕获每个页面的详细信息,因此我们的团队能够扩展时间线并发现更多受影响的网站,而不是已经公开的报告的内容。在这篇博客中提到,我们将在15天内调查在9月6日公开的英国航空公司客户数据泄露事件期间发生的事情。

Magecart:一个熟悉的对手

自2016年以来,RiskIQ已报告由威胁组织Magecart运营的基于网络的卡片窃取器的使用。传统上,犯罪分子使用称为卡片窃取器的设备,隐藏在信用卡读卡器上的设备,ATM,燃油泵和人们每天用信用卡支付的其他机器,窃取信用卡数据,以便以后收集并自己使用或卖给其他方。

Magecart注入脚本旨在窃取直接进入电子支付网站或通过这些网站使用的第三方供应商的在线支付的消费者的敏感数据。最近,Magecart的操作人员通过第三方功能的漏洞将其中一个数字窃取机放置在票务网站上,从而导致票务系统客户数据的大范围窃取。根据最近的证据,Magecart现在已将目光投向英国最大的航空公司British Airways。

发现对英国航空公司的破坏行为

我们将Magecart与英国航空公司的攻击联系起来的第一步就是通过我们的Magecart检测攻击点。看到Magecart的攻击对我们来说非常常见,以至于我们至少每小时都能得到网站被他们的窃取器代码破坏的警报我们的产品是自动给客户发送通知的,但我们的研究团队会手动搜索这些工作区以外的任何攻击,并将其添加到我们的全球黑名单中。在英国航空公司遭受破坏的事件中,我们的黑名单事件或嫌疑人没有受到攻击,因为Magecart在这次事件中定制了他们的窃取器。

手工挖掘爬取数据的一个挑战是RiskIQ收集的数据规模。随着时间的推移积累,我们每天抓取超过20亿页。另一个原因是现代网站倾向于使用ja vasc ript构建许多功能,只需加载主要的英国航空公司网站即可转换大约20个不同的脚本,并将预订子页面加载到30个。虽然30个脚本可能听起来不多,但其中许多是缩小的脚本,跨越数千行脚本。

对于这项研究,我们决定集中精力识别英国航空公司网站上的各个脚本以及检查它们随时间变化的外观,我们将验证网站上的所有独特脚本,在我们的爬行中只有它们的外观发生变化时才会再次查看它们。最后,我们记录了其中一个脚本的更改。打开爬行记录,我们看到这个脚本是Modernizr ja vasc ript库的修改版本,准确版本为2.6.2。该脚本是从英国航空公司网站上的行李认领信息页面加载的:

图片.png图1 修改过的脚本

所提到的变化位于脚本的底部,这是我们经常看到的攻击者修改ja vasc ript文件以破坏功能的技术。底部的小脚本标签立即引起了我们的怀疑:

图片.png图2 Magecart添加的可疑脚本标签

我们在British Airways服务器发送的服务器表头中发现了更多证据。服务器发送“ Last-Modified ”头,表示上次修改静态内容的时间。Modernizr脚本的原版本有一个2012年12月的时间戳:

图片.png图3 受损脚本的原版本

我们可以看到在改进的恶意版本的Modernizr上,时间戳与英国航空公司给出的时间戳紧密匹配,作为人们受害的开始:

图片.png图4 窃取开始时的时间戳

这是一个被清除的版本的脚本,只有22行ja vasc ript代码:

图片.png图5 只有22行代码使380,000人受害

从本质上讲,脚本非常简单而且非常有效。以下是它的作用细分:

  • 一旦页面上的每个元素完成加载,它将:
    • 使用以下回调代码mouseuptouchend事件绑定在一个名为submitButton 的按钮上
      • 将具有id paymentForm的表单中的数据序列化为字典
      • 将ID为personPaying的页面上的项目序列化为与paymentForm 信息相同的字典
      • 从这个序列化数据中创建一个文本字符串
      • 将数据以JSON的形式发送到baways.com上托管的服务器

在网站,mouseuptouchend上,当有人在点击按钮后放开鼠标或触摸屏(移动)设备上的某个人在按下按钮后离开屏幕时会发生窃取事件。这意味着,一旦用户点击在受损的英国航空公司网站上的提交付款按钮,付款表单中的信息将随其名称一起提取并发送给攻击者的服务器。

这种攻击是一种简单但具有高度针对性的方法,与我们过去看到的Magecart窃取器相比,它任意地抓取表单。这个特殊的窃取器非常适合英国航空公司的支付页面的设置,这告诉我们攻击者会仔细思考如何针对这个站点,而不是盲目地注入常规的Magecart窃取器。

此攻击中使用的基础设施仅在考虑英国航空公司的情况下设置,并且还有专门针对脚本,这些脚本与正常的支付处理相结合以避免被发现。我们在域名baways.com上看到了这方面的证据以及丢弃的服务器路径。该域名89.47.162.248,位于罗马尼亚,实际上是位于立陶宛的名为Time4VPS的VPS提供商的一部分。Magecart还为服务器加载了SSL证书。有趣的是,他们决定使用Comodo的付费证书而不是免费的LetsEncrypt证书,这可能使它看起来像一个合法的服务器:

图片.png图6 由攻击者利用的证书

资料来源:https//community.riskiq.com/search/certificate/sha1/e1a181db8f8366660840e0b490ad2da43c78205a

Magecart使用的证书中有趣的是,它是在8月15日发布的,这表明他们可能在8月21日报道的攻击开始日期之前就可能访问英国航空公司网站,可能更久以前。如果不了解面向互联网的网络资产,英国航空公司就无法在太晚之前发现这种破坏。

移动端攻击

在英国航空公司的安全公告中,该公司注意到网络应用程序和移动应用程序用户都受到了影响。我们在英国航空公司的网页上找到了窃取器,但这又如何转化为移动设备?为了解决这个问题,我们将看看英国航空公司的Android应用程序:

图片.png图7 英国航空公司的移动应用程序

通常,当开发人员构建移动应用程序时,他们会创建一个空壳并从其他地方加载内容。就英国航空公司而言,该应用程序的一部分是原生的,但其大部分功能都来自英国官方航空公司官方网站的网页。移动应用程序使用一组不同的主机与英国航空公司服务器进行通信:

  • www.britishairways.com(主要网站)
  • api4-prl.baplc.com(英国航空公司的API端点)
  • api4.baplc.com(英国航空公司的另一个API端点)

我们的想法是,为了在其UI上快速更新数据,应用程序使用API​​端点,但是为了搜索,预订和管理航班,应用程序会加载主网站的移动版本。其中一条被调用的路径是:

www.britishairways.com/travel/ba_vsg17.jsp/seccharge/public/en_gb

当客户请求有关不同国家和机场的费用的信息时,将加载此页面。它看起来像这样:

图片.png

图8 Magecart受损的移动网页

如果我们查看此网页的来源,我们会发现一些有趣的内容,该页面使用与真实网站相同的CSS和ja vasc ript组件构建,这意味着设计和功能方面,这是完全匹配。根据我们上面的检查,我们知道这意味着我们还会在移动应用上找到我们的破坏脚本——从网络应用窃取名称和付款信息的脚本:

图片.png图9 移动网页的来源

我们的抓取工具捕获了移动应用中使用的页面加载的子资源;它加载了相同的(当时)受损的Modernizr ja vasc ript库!有一点需要注意的是,magecart在窃取器中进行触控回调,以使其适用于移动访问者,这再次向我们展示了这种简单但极其有效的高水平规划和对细节的集中攻击。

结论

正如我们在此次袭击中看到的那样,Magecart建立了定制的,有针对性的基础设施,专门与英国航空公司网站融为一体,尽可能避免被发现。虽然我们永远无法知道攻击者在英国航空公司服务器上的覆盖范围,但他们能够修改该站点的资源这一事实告诉我们访问权限很大,并且他们可能在攻击开始之前就已经访问了很久关于面向网络的资产的脆弱性,这是一个明显的‘提醒’。

虽然Magecart对英国航空公司的攻击不是对第三方供应商的攻击,例如对Ticketmaster的攻击,但确实提出了支付形式的安全问题。公司,特别是那些收集敏感财务数据的公司,必须意识到他们应该考虑其表格的安全性 - 以及影响一旦客户提交支付信息后会发生什么情况的控制措施。

我们建议英国航空公司的客户从他们的银行获得一张新卡。一些银行已经主动为其客户发行新卡,Monzo就是这样一个例子:

图片.png

图10 一些银行如何回应

资料来源:https//twitter.com/monzo/status/1038042015286607872

Magecart是一个活跃的威胁组织,其规模和广度可以与最近的Home Depot和Target等零售巨头的销售点系统的妥协相媲美,甚至可能超越它们。Magecart自2015年以来一直活跃,并且从未退出他们的犯罪活动。相反,他们不断完善自己的策略和目标,以最大限度地提高他们的收益。

随着时间的推移,他们已经优化了他们的策略,最终成功破坏了Inbenta等第三方提供商,导致Ticketmaster客户数据被盗。我们现在看到他们针对特定品牌,制作他们的攻击以匹配特定网站的功能,我们在违反英国航空公司时看到了这些。将会有更多的Magecart攻击,RiskIQ将跟踪它们并使网络安全行业了解我们的研究。

对于Magecart的深入探索,从集团的成立到Ticketmaster的黑客攻击,再到最新的英国航空公司黑客攻击,请务必注册由RiskIQ首席研究员和报告作者Yonathan Klijnsma主持的网络研讨会

来源:https://www.riskiq.com/blog/labs/magecart-british-airways-breach/

最新评论

昵称
邮箱
提交评论