信用卡資料洩漏持續進行中
DNSMon是一個全網DNS異常發現分析系統。基於我們可以看到的中國地區 10%+ 的DNS流量,加上我們多年積累的其他多維度安全資料以及安全分析能力,我們可以在一個獨特的視角來實時監測 全網 每天 正在發生 的事情,我們可以 “看見” 正在發生的威脅。
摘要
我們的DNSMon發現了一個異常域名 magento-analytics[.]com,通過持續的跟蹤,以及和WEB資料的關聯,發現該域名通過滲透侵入線上購物網站,植入自己的JS指令碼,實時判定使用者信用卡的輸入情況,將信用卡的 所有人/卡號/過期時間/CVV 資訊回傳,實現對信用卡資料的竊取,進而可以盜刷。
如果有國內使用者使用信用卡在國外購物網站支付,建議使用者一定要謹慎,儘量選擇安全做的好的大網站。國外不支援國內的密碼支付體系,只要上述資訊洩漏,就存在被盜刷風險。
緣起
早在2018年10月初,我們發現域名 magento-analytics[.]com 有了異常波動。在其時,友商VT上有零星的幾家報malware/maicious,但是沒有具體惡意細節,我們也沒有看到任何樣本行為,所以沒法進一步驗證。同時由於其絕對訪問量不是很大,我們暫時將其納入跟蹤流程,對其進行持續跟蹤。
持續跟蹤的過程中,該域名錶現一直不溫不火,沒有出現業務上持續的劇烈變化,不過我們分析流程最近自動捕獲的一個異常特徵將其納入我們的分析視野:這是個註冊在“巴拿馬”的域名,但在最近幾月內,該域名對映的IP,從“美國-亞利桑那” 到了 “俄羅斯-莫斯科”,再到了 “中國-香港”。
網際網路業務做大了,全球提供服務可以理解,但是一個小訪問量的域名,大範圍的切換服務地址,也不是多IP共用,這非常有問題。小孩子也不能胡鬧,我們得查清楚“熊孩子”到底在幹嘛。
分析
首先驗證是不是小網站,不過該域名預設頁面沒有提供服務,可疑程度+1。基於我們從去年10月開始對其跟蹤,所以我們有能力在我們各維度的資料流中掛錨點,將與其有關的資料都聚合在一起分析,我們很容易的可以發現該域名下URL的活躍情況。
FirstSeenLastSeenURL 2019041720190418magento-analytics.com:80/5c330014a67ac.js 2019040320190410magento-analytics.com:80/5c6d6f33c5d6a.js 2019032020190401magento-analytics.com:80/5c68b7ba3ea38.js 2019031520190315magento-analytics.com:80/5c8ba95b0a705.js 2019030520190305magento-analytics.com:80/5c13086d94587.js 2019030420190308magento-analytics.com:80/5c3a398f10058.js 2019022820190228magento-analytics.com:80/5c56e1cf41cc2.js 2019022220190326magento-analytics.com:80/5c56e1cf41cc2.js 2019020320190406magento-analytics.com:80/5c330014a67ac.js 2019012020190415magento-analytics.com:80/gate.php 2019012020190322magento-analytics.com:80/5c0ff4bd5d9a5.js 2019011720190212magento-analytics.com:80/5c0ef8d315d78.js 2019011520190129magento-analytics.com:80/5c0d35f517604.js 2019011020190314magento-analytics.com:80/5c24b628da151.js 2019010820190203magento-analytics.com:80/5c0ffacc0e2e7.js 2018122820190204magento-analytics.com:80/5c0d3ac73f0d2.js 2018122720190113magento-analytics.com:80/emersonstreetclothing.js 2018122720190111magento-analytics.com:80/5c2227461b957.js 2018122420190418magento-analytics.com:80/powermusic.js 2018122420190417magento-analytics.com:80/5c116a3629062.js 2018122420190326magento-analytics.com:80/pizzaholic.js 2018122420190105magento-analytics.com:80/5c0d25c0abdf7.js 2018122420181224magento-analytics.com:443/pizzaholic.js 2018122320181223magento-analytics.com:443/5c0d2b47a8815.js 2018122120181221magento-analytics.com:443/5c0d245a4ecc3.js 2018122020181224magento-analytics.com:80/5c117b7b019cb.js 2018121920181219magento-analytics.com:443/5c0c3c82b2465.js 2018121620181222magento-analytics.com:443/5c1437736ba2b.js 2018121520181221magento-analytics.com:443/5c0c3e8455ebc.js 2018121520181215magento-analytics.com:443/5c0d3318981bd.js 2018121420181224magento-analytics.com:443/5c0d35f517604.js 2018121420181214magento-analytics.com:443/5c0ffacc0e2e7.js 2018121420181214magento-analytics.com:443/5c0d4b0b33f36.js 2018121320181228magento-analytics.com:443/5c0d1ae802dc7.js 2018121120181224magento-analytics.com:443/5c0c4602161ec.js 2018121020181228magento-analytics.com:443/5c0d25c0abdf7.js 2018121020181210magento-analytics.com:443/monsieurplus.js 2018120920181227magento-analytics.com:443/powermusic.js 2018120920181212magento-analytics.com:443/5c0c712d2510b.js
可以看到,該域名從12月初開始,承載了一眾的JS指令碼,大部分構成都非常相似。隨便下載一個來看看。
JS很簡單,也沒有混淆。只要載入該JS,就會設定一個定時器,每隔500ms呼叫一下TrySend函式。TrySend函式中,會嘗試獲取 Number/Holder/Date/CVV 等資料項,等資料收集全,最終會呼叫SendData將資料上報到 [hxxps://magento-analytics.com/gate.php]。
看到 Number/Holder/Date,還沒太大感覺;再看到CVV,一切就比較明白了,這是個蒐集信用卡資訊的介面。接著看其他的JS,不管是13位元組長的類似hash的JS,還是powermusic.js/monsieurplus.js 等基於被掛鏈網站域名而特殊命名的JS,基本都是一樣的功能。
問題來了,一個自己沒有業務的域名,為什麼會將信用卡資訊提交給自己呢?這個域名從哪獲取信用卡資訊,提交的是誰的信用卡資訊呢?
驗證
還是基於我們持續跟蹤的資料,我們可以隨便找一個載入了該JS的“可疑的受害者 www.kings2.com” 來驗證一下。我們在該網站註冊使用者後,任意選擇一個商品,選擇結賬,走到“Payment Information”提交信用卡資訊,等到CVV資料一輸入,不出所料的,我們的信用卡資訊被上傳了。
關於magento-analytics
網際網路上的信用卡資訊竊取,國外有不少案例,其中不乏針對Magento的攻擊。(Magento是一家知名的電商CMS軟體廠商,於2018年被Adobe收購,網站Alexa排名top1w)。
我們發現受magento-analytics[.]com影響的網站,都是電商購物網站,籠統看其出售的商品型別,包含但不限於高檔箱包、山地車、嬰兒用品、酒、電子產品等;同時這些網站具有相似的HTML文件結構、指向Magento的變數名、外掛,這些說明它們可能是使用了Magento CMS的下游購物網站。
magento-analytics[.]com和magento[.]com在域名上具有高度的相似性,根據兩者whois和ip的歷史資訊,我們可以判定magento-analytics[.]com並非Magento官方的基礎設施,而是攻擊者用來混淆視聽的惡意域名。
對比兩者近期的whois歷史記錄可以看出:magento[.]com的資訊公開透明並及時更新,Adobe收購Magento一事也可以從中看出;而magento-analytics[.]com則啟用了whois隱私保護,這是攻擊者的慣用伎倆,也和Magento風格迥異。
magento[.]com createddate2010-02-08 19:47:21 updateddate2018-11-27 18:34:21 expiresdate2020-02-08 19:47:21 [email protected] registrant_nameDomain Administrator registrant_organizationAdobe Inc. ------------------------------------------------ createddate2010-02-08 00:00:00 updateddate2018-01-07 10:19:03 expiresdate2019-02-08 19:47:21 registrant_organizationX.commerce, Inc. magento-analytics[.]com createddate2018-05-12 06:46:51 updateddate2018-05-12 06:46:52 expiresdate2019-05-12 06:46:51 registrant_email67b2df6fbf0a4c38b7c26c1d729a997b.protect@whoisguard.com registrant_nameWhoisGuard Protected registrant_organizationWhoisGuard, Inc.
而Magento也從未在dns層面和magento-analytics[.]com有過相近。
根據受害網站被掛黑鏈的位置、部分受害網站出現重複黑鏈等現象,我們推測攻擊者可能利用了Magento的相關漏洞對受害網站進行攻擊並植入惡意程式碼。
影響範圍
該惡意域名偷信用卡的行為已經持續了5個月之久,我們在大網範圍內看到一共有105個網站載入了該JS,當前 Alexa Top 100萬網站中,被滲透的網站有如下6個:
imitsosa[.]com alkoholeswiata[.]com spieltraum-shop[.]de ilybean[.]com mtbsale[.]com ucc-bd[.]com
考慮到我們的視野是有限的,全網範圍內會存在更多被magento-analytics[.]com利用的網站。
建議使用Magento CMS的電商網站通過訂閱官方的安全告警、及時打官方補丁等方式加固自身的網站安全。
當前我們的DNSMon系統已經將該域名攔截,以降低國內使用者資料洩漏的風險。需要反思的是,該惡意域名偷信用卡資料偷了5個月了,儘管有其他安全廠家可能比我們更早的發現或確認了這個惡意域名,可該域名至今沒有被大範圍封堵。
IOCs
magento-analytics[.]com AS| IP| AS Name 55933| 93.187.129.249| CLOUDIE-AS-AP Cloudie Limited, HK
受影響網站
adirectholdings[.]com adm[.]sieger-trophaen[.]de adventureequipment[.]com[.]au alkoholeswiata[.]com alphathermalsystems[.]com ameta-anson[.]com ametagroup[.]com ametawest[.]com appliancespareparts[.]com[.]au armenianbread[.]com autosportcompany[.]nl bagboycompany[.]com boardbookalbum[.]biz boardbookalbum[.]com boardbookalbum[.]net boardbookalbums[.]biz boardbookalbums[.]net burmabibas[.]com businesstravellerbags[.]com clotures-electriques[.]fr cltradingfl[.]com colorsecretspro[.]com connfab[.]com cupidonlingerie[.]fr devantsporttowels[.]com diamondbladedealer[.]com digital-2000[.]com emersonstreetclothing[.]com equalli[.]com equalli[.]co[.]uk equalli[.]de eu[.]twoajewelry[.]com eyeongate[.]net fitnessmusic[.]com fluttereyewear[.]com freemypaws[.]info gabelshop[.]ch gosuworld[.]com hotelcathedrale[.]be huntsmanproducts[.]com[.]au iconicpineapple[.]com ilybean[.]com imitsosa[.]com jasonandpartners[.]com[.]au jekoshop[.]com jekoshop[.]de junglefeveramerica[.]com kermanigbakery[.]com kermanigfoods[.]com kings2[.]com koalabi[.]com lamajune[.]com li375-244[.]members[.]linode[.]com libertyboutique[.]com[.]au lighteningcornhole[.]com lighting-direct[.]com[.]au lightingwill[.]com liquorishonline[.]com lojacristinacairo[.]com[.]br magformers[.]com maxqsupport[.]com mdcpublishers[.]com meizitangireland[.]com mockberg[.]com monsieurplus[.]com mont[.]com[.]au mtbsale[.]com noirnyc[.]com nyassabathandbody[.]com pgmetalshop[.]com pinkorchard[.]com pizzaholic[.]net powermusic[.]com prestigeandfancy[.]com prestigebag[.]com prestigefancy[.]com prestigepakinc[.]com prettysalonusa[.]com promusica[.]ie qspproducts[.]com qspproducts[.]nl qspracewear[.]nl rightwayhp[.]com safarijewelry[.]com schogini[.]biz shopatsimba[.]com spalventilator[.]nl spieltraum-shop[.]de storageshedsoutlet[.]com stylishfashionusa[.]com suitpack[.]co[.]uk svpmobilesystems[.]com task-tools[.]com tiroler-kraeuterhof[.]at tiroler-kraeuterhof[.]com tiroler-kraeuterhof-naturkosmetik[.]com ucc-bd[.]com ussi-md[.]com utvcover[.]com vezabands[.]com vitibox[.]co[.]uk waltertool[.]info waltertool[.]org waltertools[.]com workoutmusic[.]com