RiskiQ揭开了新的Magecart运动
根据攻击表面管理公司的安全研究人员,信用卡 - 撇击犯罪犯罪杂志Magecart的新活动是妥协的亚马逊S3桶。
研究人员,由Magecart Gang追踪和暴露攻击的烟囱袭击,这是英国航空公司的斯蒂克特玛斯特,相信最新的竞选活动于2019年4月开始。他们一直在与亚马逊和受影响的方面合作,以解决他们观察它们的注射和MISCONPD S3云存储实例。
根据该报告,攻击背后的人自动化了同时损害了超过17,000个域的过程,通过积极扫描MISCONPD Amazon S3桶,可以访问亚马逊Web服务帐户的任何人阅读和编写内容。
此次攻击介绍了Magecart的另一个方法,风险研究人员称之为“喷雾和祈祷”方法。因为撇渣器仅在付款或结帐页面上工作时,大多数Magecart攻击目标特定的电子商务站点,并尝试仅在带有付款表格上的页面上的撇渣器。
然而,寻找S3桶Milconpd的易于妥协,以允许公共接入意味着即使只有其撇渣器注入的一小部分退回支付数据,它将产生大量的投资回报,所以。
“这是Magecart上的一个全新的扭曲,”Riskiq的头部威胁研究员Yonathan Klijnsma说。“虽然这个团体选择了达到目标,但他们可能最终获得了足够的付款页面来撇击,以使他们的攻击有利可图。他们已经完成了他们的成本效益分析。“
这种最新攻击的规模说明了任何类型的威胁演员如何一次性地利用存储在MISCONPD S3存储桶中的脚本损害大量网站的威胁演员。RiskiQ研究人员表示,没有更大的意识和提高努力实施所需的安全控制,使用类似技术会有更多的攻击。
Magecart威胁的重力强调,即英国航空公司面临着183万英镑的一般数据保护条例(GDPR)与风险研究人员暴露的Magecart攻击有关的数据违约,这是罚款。
“拟议的183万英镑兑英国航空公司违反其Magecart违反其网站,占2017年的1.5%的收入,这是一个不如任何GDPR都罚款,”Riskiq Ceo Lou Manousos说。
“随着最近基于网络和浏览器的威胁爆发,这一先例应该让组织重新评估他们目前的安全策略,以处理超出防火墙的威胁。”
Klijnsma在博客文章中表示,如果有人改变了S3桶的默认行为并需要公共访问,则为设置正确的访问控制是至关重要的。
“S3桶的访问控制来自亚马逊的IAM [Iditity和Access Management]策略,特定的桶策略或一般访问控制策略,”他写道。“这些各种策略可以覆盖和堆叠,具体取决于桶以及您想要将其设置为的方式。”
RiskiQ推荐这三个“关键步骤”,用于访问控制到任何S3桶:
白名单:每个管理员都应该非常仔细地监控这些控件,并应用白名单而不是黑名单的概念。只提供对绝对需要它们的进程或熟食的访问权限。定期查看此列表以禁用不需要的和不需要的访问。限制写入权限的限制:切勿向每个人提供写入权限。从S3存储桶中观察到数千个Magecart妥协的原因是管理员设置访问控制,以允许任何人将内容写入存储桶。阻止访问:帐户管理员可以嵌入公众访问,防止其帐户中的任何人打开桶到公众,无论S3桶策略如何。研究人员还建议S3桶的用户阅读Amazon的一般项目指南,以检查维护安全的S3存储桶设置。