科技
駭客的「無聲」劫財術!新型WebRTC側錄攻擊現身,繞過CSP防護重創大型電商與跨國車廠
加入為 Google 偏好來源
將 Yahoo 設為首選來源,在 Google 上查看更多我們的精彩報導
當我們以為電商網站的結帳頁面已經受到嚴密保護時,駭客的攻擊手法卻已經跨入了另一個通訊協定。資安防護公司Sansec近日發出警告,指出一種新型態的金融卡側錄 (Web Skimming)攻擊正在全球蔓延。與過往常見的惡意腳本不同,這次攻擊者首度利用了P2P的WebRTC (Web Real-Time Communication)通訊機制來側錄信用卡資料,成功繞過現有的網路監控工具與內容安全政策 (CSP),過去兩個月內已有5家市值數十億美元的跨國巨頭受害,其中甚至包含美國前三大銀行與市值破千億美元的汽車製造商。
過往的Magecart線上側錄或卡片側錄攻擊,多半是透過植入惡意JavaScript,再將竊取到的資料透過HTTP請求傳回駭客的C2伺服器。而隨著企業廣泛部署內容安全政策 (CSP)與各類Web應用防火牆 (WAF),這種手法的成功率正在下降。
但Sansec研究人員發現,這次駭客極度聰明地改用WebRTC DataChannel:
• 非傳統流量:WebRTC採用經過DTLS加密處理的UDP通訊,而非傳統的HTTP連線。由於多數企業的網路資安工具僅針對HTTP流量進行深度封包檢測,這使得WebRTC流量宛如穿上一層隱身衣。
• CSP的法外之地:WebRTC是一種配對連線機制,其運作方式目前仍遊走在主流CSP規範的邊緣。儘管Chrome瀏覽器已開始測試支援特定CSP指令來管控WebRTC,但由於缺乏業界標準化,目前幾乎沒有網站實際佈署,導致駭客能輕易繞過防線。
這波精密的攻擊並非無跡可尋。Sansec指出,駭客入侵電商網站的破口,極有可能是近期大肆肆虐的PolyShell漏洞。該漏洞已經導致近六成的Adobe Commerce與Magento電商平台被上傳惡意的PHP程式碼。
在實際的攻擊執行階段,駭客展現了極高的隱蔽技巧:
• 輕量化載入:初始階段僅植入極為輕量的JavaScript載入器,並且透過重用現有的script nonce或利用unsafe-eval來突破基礎的CSP限制。
• 延遲執行 (requestIdleCallback):為了降低被行為偵測機制抓包的機率,惡意程式會刻意利用瀏覽器的延遲執行機制,在系統資源空閒時才偷偷啟動。
• 無聲竊資:一旦WebRTC連線建立,並且接收到第二階段的惡意酬載後,程式便會潛伏在結帳頁面,攔截用戶輸入的信用卡號、到期日與安全碼,直接打包、透過UDP通訊直送駭客伺服器。
這次Sansec揭露的新型WebRTC側錄攻擊,象徵Web Skimming線上側錄攻擊手法的一次重大「技術升級」。
過去在防禦電商側錄攻擊時,防護邏輯往往是透過CSP「防堵未經授權的外部網域連線」,以及「監控異常的HTTP傳輸」。但駭客這次直接從底層通訊協定,利用原本設計用來做視訊通話、P2P檔案傳輸的WebRTC技術,把惡意資料夾帶在加密的UDP封包中送走。這就像是當防護機制還在臨檢一般公路 (HTTP)時,惡意程式已經開著直升機 (WebRTC)揚長而去。
這對企業的IT與資安團隊是一個嚴峻的警訊。特別是對於使用Adobe Commerce與Magento的電商平台而言,除了必須盡速修補PolyShell相關漏洞外,也必須重新審視自身的網路防護機制是否具備解析非HTTP流量的能力。隨著千億美元級別的車廠與頂尖銀行相繼淪陷,顯示這已非針對中小型電商的無差別網釣,而是針對高價值目標的精密針對性攻擊。
更多Mashdigi.com報導:
Xbox Partner Preview揭曉19款新作連發! 《人中之龍》團隊新作、8K級全景空拍無人機跨界連動
這次是真的!Google Search Live全球正式上線,同步擴大iOS版「即時翻譯」支援語系
打破傳統傳動框架!NAVEE攜手洛梵狄科技展示搭載全電控變速E-bike陣容
將 Yahoo 設為首選來源,在 Google 上查看更多我們的精彩報導
當我們以為電商網站的結帳頁面已經受到嚴密保護時,駭客的攻擊手法卻已經跨入了另一個通訊協定。資安防護公司Sansec近日發出警告,指出一種新型態的金融卡側錄 (Web Skimming)攻擊正在全球蔓延。與過往常見的惡意腳本不同,這次攻擊者首度利用了P2P的WebRTC (Web Real-Time Communication)通訊機制來側錄信用卡資料,成功繞過現有的網路監控工具與內容安全政策 (CSP),過去兩個月內已有5家市值數十億美元的跨國巨頭受害,其中甚至包含美國前三大銀行與市值破千億美元的汽車製造商。
過往的Magecart線上側錄或卡片側錄攻擊,多半是透過植入惡意JavaScript,再將竊取到的資料透過HTTP請求傳回駭客的C2伺服器。而隨著企業廣泛部署內容安全政策 (CSP)與各類Web應用防火牆 (WAF),這種手法的成功率正在下降。
但Sansec研究人員發現,這次駭客極度聰明地改用WebRTC DataChannel:
• 非傳統流量:WebRTC採用經過DTLS加密處理的UDP通訊,而非傳統的HTTP連線。由於多數企業的網路資安工具僅針對HTTP流量進行深度封包檢測,這使得WebRTC流量宛如穿上一層隱身衣。
• CSP的法外之地:WebRTC是一種配對連線機制,其運作方式目前仍遊走在主流CSP規範的邊緣。儘管Chrome瀏覽器已開始測試支援特定CSP指令來管控WebRTC,但由於缺乏業界標準化,目前幾乎沒有網站實際佈署,導致駭客能輕易繞過防線。
這波精密的攻擊並非無跡可尋。Sansec指出,駭客入侵電商網站的破口,極有可能是近期大肆肆虐的PolyShell漏洞。該漏洞已經導致近六成的Adobe Commerce與Magento電商平台被上傳惡意的PHP程式碼。
在實際的攻擊執行階段,駭客展現了極高的隱蔽技巧:
• 輕量化載入:初始階段僅植入極為輕量的JavaScript載入器,並且透過重用現有的script nonce或利用unsafe-eval來突破基礎的CSP限制。
• 延遲執行 (requestIdleCallback):為了降低被行為偵測機制抓包的機率,惡意程式會刻意利用瀏覽器的延遲執行機制,在系統資源空閒時才偷偷啟動。
• 無聲竊資:一旦WebRTC連線建立,並且接收到第二階段的惡意酬載後,程式便會潛伏在結帳頁面,攔截用戶輸入的信用卡號、到期日與安全碼,直接打包、透過UDP通訊直送駭客伺服器。
這次Sansec揭露的新型WebRTC側錄攻擊,象徵Web Skimming線上側錄攻擊手法的一次重大「技術升級」。
過去在防禦電商側錄攻擊時,防護邏輯往往是透過CSP「防堵未經授權的外部網域連線」,以及「監控異常的HTTP傳輸」。但駭客這次直接從底層通訊協定,利用原本設計用來做視訊通話、P2P檔案傳輸的WebRTC技術,把惡意資料夾帶在加密的UDP封包中送走。這就像是當防護機制還在臨檢一般公路 (HTTP)時,惡意程式已經開著直升機 (WebRTC)揚長而去。
這對企業的IT與資安團隊是一個嚴峻的警訊。特別是對於使用Adobe Commerce與Magento的電商平台而言,除了必須盡速修補PolyShell相關漏洞外,也必須重新審視自身的網路防護機制是否具備解析非HTTP流量的能力。隨著千億美元級別的車廠與頂尖銀行相繼淪陷,顯示這已非針對中小型電商的無差別網釣,而是針對高價值目標的精密針對性攻擊。
更多Mashdigi.com報導:
Xbox Partner Preview揭曉19款新作連發! 《人中之龍》團隊新作、8K級全景空拍無人機跨界連動
這次是真的!Google Search Live全球正式上線,同步擴大iOS版「即時翻譯」支援語系
打破傳統傳動框架!NAVEE攜手洛梵狄科技展示搭載全電控變速E-bike陣容
新聞來源: 原始來源
尚無評論,成為第一個發言的人吧!