- 发表时间:2020-08-23 22:06
- 来源:数度域
据发现这一漏洞的eset研究员matthieu faou称,黑客在statcounter上植入恶意软件,从gate.io账户持有人那里窃取比特币收入。
据他周二报道,恶意代码上周末被添加到statcounter的网站跟踪脚本中。
恶意代码劫持了任何通过gate.io cryptocurrency exchange的网络接口进行的比特币交易。除非页面链接包含“我的帐户/取款/btc”路径,否则它不会触发。
恶意代码可以秘密地用攻击者控制的地址替换用户在页面上输入的任何比特币地址。安全专家认为这个漏洞很严重,因为很多网站都加载了statcounter的跟踪脚本。
faou告诉technewsworld:“这种安全漏洞是非常重要的考虑到-根据统计-超过200万网站正在使用他们的分析平台rm。”“通过修改注入这200万个网站的分析脚本,攻击者能够在这些网站的所有访问者的浏览器中执行javascript代码。”
目标有限,潜力广泛
block safe technologies的首席执行官乔治·沃勒(george waller)指出,这次攻击也意义重大,因为它显示出黑客们在窃取密码货币的工具和方法方面越来越老练。
虽然这种形式的劫持并不是新现象,但是代码的插入方式却是。
密码货币市场及其新兴资产类别的增长导致黑客们加大投资,设计更强有力的尝试和方法来窃取它。所使用的恶意软件并不新鲜,但它的传播方式却很新颖。
“自2017年初以来,通过至少14个交易所的有针对性的攻击,密码货币交易所遭受了超过8 . 82亿美元的资金被盗。沃勒在接受technewsworld采访时说:“这次黑客攻击又增加了一个。”
eset的faoul说,在这种情况下,攻击者选择了gate.io这一重要的密码货币交易所的用户。当用户提交比特币取款时,攻击者实时用他们控制的地址替换目的地地址。
攻击者能够通过危害第三方组织来锁定gate.io,这种策略被称为“供应链攻击”。faoul指出,他们本可以锁定更多的网站。
“我们确定了几个使用statcounter的政府网站。因此,这意味着攻击者能够锁定许多有趣的人。”
讲述财务影响
gate.io在攻击期间发起比特币交易的客户面临的风险最大。据[/h/
通常,第三方脚本(如statcounter)的数量应该由网站管理员保持在最低限度,因为每个脚本都代表一个潜在的攻击媒介。对于交易所而言,在这种情况下,额外的取款确认将是有益的,因为该漏洞涉及到将用户的比特币地址换成窃贼的地址。
boshell告诉technewsworld已经拿下了statcounter,所以这次特殊的攻击应该结束了。”
这一违规行为的损失程度和欺诈风险尚不可量化。boshell补充道,攻击者使用了多个比特币地址进行传输,并指出该攻击可能会利用statcounter影响任何网站。
保护策略不是万无一失的
statcounter需要改进自己的代码审计,并不断检查网络上是否只有授权代码在运行,red lion首席运营官joshua marpet建议道。但是,大多数用户不会意识到statcounter有错。
他告诉technewsworld:“他们会责怪gate.io,任何事情都有可能发生——业务损失,挤兑银行,甚至关门。”
检查代码并不总是可行的预防计划。在这种情况下,恶意软件代码看起来就像gate.io用户自己的指令,隐私顾问的boshell指出。
她说:“gate.io用来防范和检测恶意软件的欺诈工具很难检测到它。”
beyondtrust的企业和解决方案架构高级总监brian chappell表示,网络管理员并未真正受到此类违规行为的影响,因为恶意代码是在工作站/笔记本电脑上处理的,而不是在网络服务器上。它也不提供任何机制来获得对系统的控制。
他告诉technewsworld:“从本质上讲,很多明星都需要排队,这是一个很大的风险。”“有效的漏洞和权限管理自然会限制任何入侵的影响。”
这是管理员需要寻找的方向。chappell补充说,假设目标网站是他们组织内被接受的网站,他们无法控制最初的攻击。
eset的faou指出,即使是一个受到良好保护的网站,也可能因泄露第三方脚本而遭到破坏。
他说:“因此,网站管理员应该仔细选择他们链接的外部javascript代码,如果没有必要,就避免使用它们。”
[/h/
他告诉technewsworld,使用具有良好安全声誉的分析服务是其中的一部分。
柯林斯说:“使用广告/脚本拦截器的人并不容易受到攻击。”
更多最佳做法
accept to的首席安全架构师fausto oliveira指出,流量分析、网站扫描和代码审计是一些能够检测到导致异常交易和流量的工具。然而,从一开始就防止攻击是理想的。
oliveira告诉technewsworld:“如果gate.io的客户有一个应用程序需要超过一定数量的强带外身份验证,或者如果一个交易的目标是一个未知的接收方,那么他们的客户将有机会阻止该交易,并尽早发现发生了问题。”
使用像noscript和ublock/ umatrix这样的脚本拦截插件可以将一定程度的个人控制权交给网站用户。[/h/
他告诉technewsworld:“但是你可以看到什么样的代码被拉进一个站点,如果没有必要的话就禁用它。”
“web开发人员需要停止将第三方脚本放在敏感页面上,并把他们的责任放在用户身上,而不是他们对广告费用、指标等的渴望上。””曾基奇说道。
小心第三方的任何东西
Zen chain的联合创始人seth hornby建议,作为一项规则,网站管理员应尽量减少第三方脚本的数量,因为每一个脚本都代表一个潜在的攻击媒介。
他告诉technewsworld:“对于交易所来说,在这种情况下,额外的取款确认也将是有益的,因为该漏洞涉及到将用户的比特币地址换成窃贼的地址。”
fcoin的创始人张健警告说,即使是第三方外包解决方案也会为网络欺诈打开大门。
“在密码货币领域,许多公司依赖第三方公司来完成不同的职责和任务。这种外包的后果是责任的丧失。他告诉technewsworld:“这使许多公司陷入困境,无法在为时已晚之前找到这种性质的攻击。”
jian建议,网络管理员应该从始至终致力于创建他们的工具和产品的内部版本,以确保这些安全措施的控制在他们的能力范围之内。
与密码黑客攻破statcounter窃取比特币 相关的文章: