谷歌用戶內容 CDN 被用於託管惡意軟體
GIF
聚焦源代碼安全,網羅國內外最新資訊!
翻譯:360代碼衛士團隊
黑客正將惡意代碼隱藏在託管在谷歌官方CDN(內容分發網路)googleusercontent.com上的圖片元數據欄位中。
被託管在該域名上的圖像類型通常是上傳至 Blogger.com 站點和 Google+ 社交網路上的照片。
Sucuri 公司的研究員 Denis Sinegubko 最近發現一個惡意軟體分發活動利用 GoogleUserContent CDN 託管這類惡意圖像。
從 EXIF 欄位到 web shell
周三,Sinegubko 發布報告稱發現一個惡意軟體活動專註於竊取 PayPal 安全令牌(以繞過 PayPal 認證)。犯罪分子載入託管在 gooleusercontent.com 上的圖像,提取並執行從 「UserComment」 EXIF 元數據欄位中找到的代碼。
這個欄位中包含的代碼是一個 Base6 編碼字元串,當多次解碼時最終會變成一個腳本,從而將預定義 web shell 和多種其它文件上傳至受攻陷伺服器上。隨後可使用該 web shell 塗鴉伺服器,並將遭成功利用的站點地址通過郵件發送給攻擊者。
難以拿下惡意圖像
引起Sinegubko注意的並不是將惡意代碼隱藏在某個圖像的EXIF欄位中,而是使用GoogleUserConent CDN託管這些文件。
犯罪分子此前曾將惡意代碼隱藏在圖像元數據欄位中或者隱藏在圖像本身(即隱寫術)。
將圖像託管在 GoogleUserContent CDN 中是一種特別方式,給 Sucuri 研究人員帶來很多令人頭疼的問題。最大的問題是無法簡單地將惡意圖像報告給谷歌。谷歌設置了版權侵權報告表單,而非安全問題報告表單。
Sinegubko 表示,「谷歌刪除內容的工具有很多,但關於如何彙報圖像中的惡意軟體問題並非如此。多數工具要求提供包含侵權問題的原始帖子、頁面或評論鏈接,而圖像並不屬於某些已知公共內容。」
研究人員無法識別惡意上傳來源
研究人員指出,「我們甚至不知道創建圖像的用戶是誰。該圖像可能是為 Blogger 帖子、Google+ 帖子甚至是 Google Photos 中的某張公共圖片上傳的。很難說明這些圖像的來源,因為它們的 URL 被匿名化且格式相同。」
Sinegubko 表示隱藏在上傳於谷歌站點上的惡意代碼超過託管在其它公開站點上的惡意軟體,如上傳到 GitHub、Pastebin、Twitter 或其它類似服務上的惡意軟體。
Sinegubko 還就圖像文件的安全性掃描發出警告,多數基於 web 的安全掃描器基本忽略這些圖像文件。
這類工具通常用於查找基於文本的文件如 HTML、PHP、JS 或其它經典伺服器文件中的工具,而不會掃描託管或載入在站點上的圖像的元數據。
https://www.bleepingcomputer.com/news/security/google-user-content-cdn-used-for-malware-hosting/
※警惕!Windows 10的設置快捷方式可被濫用於代碼執行
※英特爾酷睿 CPU 又曝新漏洞 所有操作系統均受影響
TAG:代碼衛士 |