在ChromeBrowser 有安裝AdBlocker 既人要注意啦!
【駭侵事件】研究發現,超過2000萬個Chrome用戶安裝了惡意偽冒廣告攔截器(ad blocker)
瀏覽器外掛中,廣告攔截程式(Ad blocker)在幫助用戶安全瀏覽網路發揮重要的作用,同時不會因為在關閉彈出式廣告而被重導向到用垃圾郵件轟炸用戶的詐騙網站。
目前在桌上型電腦和移動設備上有超過10億人正在使用的Chrome瀏覽器,在資安公司研究報告中揭露,Chrome瀏覽器就像是大量偽冒外掛程式的集散地,尤其是惡意的廣告攔截器,根據說法,由於Chrome網路商店的安全性管控不佳,目前有超過2000萬的Chrome用戶在其瀏覽器上安裝了偽造的廣告攔截器外掛程式。
這些偽冒外掛程式的主要例子之一就是擁有超過1000萬用戶的Google Chrome瀏覽器外掛「AdRemover」。在進一步的檢查中,Adguard研究人員發現了兩個包含混淆腳本的.txt檔案,可以追蹤由受害者瀏覽器發出的每個request。
研究人員將其標記為一個由數百萬個受感染瀏覽器所組成的「natural botnet」,它可以或已經被用來竊取Chrome用戶的個人資料,並將其發送到疑似命令與控制伺服器(C&C)。
這個隱藏的腳本除監聽瀏覽器發出的請求外,並以MD5(url +"%Ujy%BNY0O")比較從coupons.txt加載的簽名列表。當所述簽名被命中時,便從domaing.qyz.sx加載一個iframe,傳遞被訪問頁面的相關資訊,然後重新初始化該外掛。例如,其中一個簽名與https://www.google.com/相對應
此外,Chrome網路商店上還有其他四款假廣告攔截器遵循與AdRemover外掛程式相同的模式。偽冒的惡意Adblockers列表如下:
Webutation(目前由超過30,000名用戶安裝)
HD for YouTube(目前由超過40萬用戶安裝)
Adblock Pro(目前由超過200萬用戶安裝)
uBlock Plus(目前由超過800萬用戶安裝)
Google Chrome的AdRemover(目前由超過1000萬用戶安裝)
●該資安公司已經向Google通知Chrome網路商店上存在惡意Adblockers的情況,但是在發佈時,所有上述外掛程式仍可安裝使用。因此,如果用戶正在使用這些Adblocker中的任何之一,建議立即移除以免遭駭客利用。
參考連結:
[1]https://www.hackread.com/20-million-chrome-users-have-inst…/
[2]https://blog.adguard.com/…/over-20-000-000-of-chrome-users…/
更多【駭侵事件】請參考 https://www.twcert.org.tw/subpa…/securityInfo/hackevent.aspx
url botnet 在 iThome Security Facebook 的精選貼文
網路安全專家劉俊雄先前曾經接受iThome的專訪,
分享他對於DDoS攻擊的觀察。
囿限於媒體篇幅和屬性,
劉俊雄趁著夜深人靜之際,
把他對於DDoS攻擊的觀察有更深入的分享!!
關注DDoS攻擊所有的資安與IT人員,
都不要錯過這一篇動人的分享!!
感謝奧天大大不藏私的經驗分享~~
[淺談 DDoS 攻擊]
幾個月前受訪談了些 DDoS 的話題,沒想到最近一連串爆發了這麼多事件,也讓個人淺見出現在幾篇 iThome 的報導
http://www.ithome.com.tw/news/109932
http://www.ithome.com.tw/news/110135
http://www.ithome.com.tw/news/110144
http://www.ithome.com.tw/news/110137
http://www.ithome.com.tw/news/111861
因訪談限制及媒體屬性,無法很完整的表達我的看法,趁著夜深人靜時整理一下 :
DDoS 大略可分為三個層級 - 網路層、系統層、應用層,
網路層為癱瘓目標頻寬,典型手法為 UDP/ICMP Flood、以及近年流行的各種 Reflection&Ampplification 洪水攻擊;
系統層為癱瘓目標的基礎建設或系統層,典型手法為 SYN Flood、Fragment Packet Flood、Connection Flood 等;
應用層為癱瘓目標的應用服務,典型手法為 SSL Flood、HTTP Flood、DNS Flood、Exploit、Slow Attack 等。
十多年前個人剛接觸 DDoS 的時候,盛行的是「細巧」的系統層/應用層攻擊,但近幾年因許多協定的 反射&放大 手法被開發、以及 IoT Botnet 的盛行,應該會有一段時間轉為 「爆量」 的網路層攻擊。
以開店作生意比喻 - 將店門口及前方道路視為網路出入口及上游,店裡設施和走道空間視為基礎建設,結帳櫃檯視為應用系統。則攻擊者可以堵住店門和馬路、可以塞爆店裡的走道和空間、又或者癱瘓結帳櫃檯。
而 DDoS 為何難防 ?
這與企業為何很難阻止駭客入侵的原因一樣,攻擊方與防守方處於不對等的立場,攻擊者有太多的方式可選擇,且可不斷的調整與嚐試,防守方卻礙於人力與預算限制,難以全天候對每一種手法都有良好的對應措施。
許多老闆總認為花錢買設備就可以了事,但偏偏這不是單一設備、單一解決方式可以完全處理的,應該沒有一家的服務或設備直接上架,完全不需調校就可以完美對應每一種攻擊手法,需要有經驗豐富的專業人士視實際攻擊狀況調校參數及規則。有如同一把大刀,在關公和小孩手上耍起來實有天壤之別啊!
以本次券商 DDoS 事件來說,由媒體報導看起來是屬於 [網路層] 的攻擊方式,但即使加大頻寬、或由ISP端阻擋住了,難保哪天不會出現針對系統層或應用層等更為精細、打得更為巧妙的手法,加上金融業幾乎全用 SSL 加密應用服務,會使中間的清洗商更難介入分析應用層攻擊(除非提交 SSL 金鑰)。
至於實務上應該要怎麼阻擋會比較理想?
我的看法是需 雲端清洗+本地防護,量大的攻擊由雲端或上游清洗處理,而細巧的攻擊可能穿過清洗中心,則由本地的防護機制處理,但絕對不會是由 "防火牆" 這萬年設備,至於用什麼設備可達到較好的阻擋效果請洽各大 SI。
另外若預算許可下,還可建立多個資料中心或介接多條 ISP 線路,配合 GSLB 機制快速切換 DNS ,讓攻擊者難以鎖定每一個出入口,可增加攻擊難度及應變時間。
另外真的遭遇 DDoS 攻擊時,個人的簡易 SOP 大概如下 -
1. 快速診斷,描述症狀由專業人士判斷(有側錄封包更佳)
2. 對症下藥
- 洪水攻擊 : 請求 ISP/清洗商 協助、Black Hole、更換 IP / Multi ISP / GSLB
- 系統層攻擊 : 更換撐不住的設備、關閉負載高的功能、調整系統參數延緩攻擊影響
- 應用層攻擊 : 增加服務能量、減少異常存取
3. 減少異常存取的方法:辨識特徵 + 過濾
- 網路層特徵 (IP/PORT/ID/TTL/SEQ/ACK/Window/...)
- 應用層特徵 (SSL/URL/Parameter/User-Agent/Referer/Cookie/Language/...)
4. 如果打到沒有特徵可過濾,則需靠應用層的機制來辨識真實使用者
- Redirection
- Challenge
- Authentication
5. 若無上述功能則儘快商調適合的設備。
以上是個人的看法,但我已經很多年沒直接處理 DDoS 的事件,也非任職於 ISP 方或 DDoS 防護服務廠商,只是單純的以技術角度分享,如有錯漏之處也請業界真正的高手不吝指教。
題外話,最近 DDoS 正夯,服務商們可仿效已有許多資安業者提供的 IR Retainer 服務,推出 DDoS Retainer,也許是不錯的商機 XD
[以上轉載請註明出處]