Xakep #305. Многошаговые SQL-инъекции
В конце мая 2020 года ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов были связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
Как оказалось, аукцион использовал для этого скрипт ThreatMetrix, созданный компанией LexisNexis и применяемый для обнаружения мошенников. Хотя eBay, по сути, ищет известные и легитимные программы для удаленного доступа и администрирования, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Журналисты Bleeping Computer так и не смогли определить программу на порту 63333. Основываясь на идентификаторе «REF» они предполагают, что это контрольный порт для тестов.
Программа | Обозначение Ebay | Порт |
Неизвестно | REF | 63333 |
VNC | VNC | 5900 |
VNC | VNC | 5901 |
VNC | VNC | 5902 |
VNC | VNC | 5903 |
Remote Desktop Protocol | RDP | 3389 |
Aeroadmin | ARO | 5950 |
Ammyy Admin | AMY | 5931 |
TeamViewer | TV0 | 5939 |
TeamViewer | TV1 | 6039 |
TeamViewer | TV2 | 5944 |
TeamViewer | TV2 | 6040 |
Anyplace Control | APC | 5279 |
AnyDesk | ANY | 7070 |
Дальнейшее изучение проблемы показало, что аналогичное поведение демонстрируют сайты таких крупных компаний, как Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay.
Хотя сканирование осуществляется по уважительным причинам, многие по праву сочли подобное поведение излишне навязчивыми и нарушающими конфиденциальность. Бороться с этим предлагалось, в частности, посредством блокировщика uBlock Origin.
Теперь же Bleeping Computer пишет, что эксперт компании MindedSecurity создал браузерное расширение Behave, которое предупредит пользователей о подобной активности. Инструмент уже доступен для Chrome и Firefox, в планах у разработчика выпуск версий для Edge и Safari.
Глава MindedSecurity и разработчик расширения Стефано Ди Паола (Stefano Di Paola) рассказывает, что расширение Behave появилось на свет в качестве концептуального эксперимента по выявлению разных злоупотреблений со стороны веб-страниц. Разработчик обещает, что если пользователи проявят интерес к его детищу, оно продолжит расти и развиваться, а в конечном итоге может превратиться в полноценный проект, направленный на повышение осведомленности.
«Например, локальное сканирование портов, кросс-протоколные атаки, перепривязка DNS — все это очень старые атаки, которые по-прежнему возможны, а поставщиками браузеров очень трудно их исправить, поскольку они злоупотребляют базовыми функциями веб-экосистемы», — говорит Стефано Ди Паола.
В настоящее время Behave отслеживает скрипты, которые пытаются получить доступ к IP-адресам следующих блоков:
- Loopback-адреса IPv4 127.0.0.1/8
- Loopback-адреса IPv6 ::1/128
- Частные сети IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16
- Уникальные локальные адреса IPv6 fc00::/7
В случае обнаружения подозрительной активности значок расширения отобразит красный индикатор, при клике по которому будет отображаться активность, выполненная сайтом. Также расширение может отображать уведомления в браузере при обнаружении нарушений.
Следует отметить, что пока в расширении присутствует небольшой баг, который может приводить к ложным срабатываниям и предупреждениям о перепривязке DNS. Ди Паола уверяет, что уже исправил ошибку и ожидает, чтобы в Google одобрили новую версию.
В ближайшем будущем эксперт MindedSecurity планирует добавить к расширению белые списки для веб-страниц и hostname’ов, которые могут выполнять локальные соединения, а также возможность обнаруживать код, выполняющий подозрительные действия.