web服务也需防范勒索行为来袭
勒索行为示例锁定个人中心滥用服务隐私泄露诱骗恐吓防范建议
想一下近年来安全行业比较火爆的勒索软件的技术原理,自从WannaCry类漏洞算起,大都是利用永恒之蓝漏洞配合通过smb弱口令进行传播,通过对主机重要数据进行加密后提示要求比特币渠道进行支付,用户无奈妥协后客服会发送解密私钥。任何远程类漏洞的漏洞均可用于勒索软件,比如mysql数据库、框架类、路由器漏洞。如何不能用于勒索,那么还能挖矿。
目前已知案例的漏洞利用技术均基于主机类的漏洞,这里讨论下通过xss搭配csrf这样的web类安全漏洞进行勒索行为,同时给出相应的防范建议。xss是跨站脚本利用漏洞的简称,技术上分为反射型,dom型,存储型,只有存储型具备传播性,难检测性,蠕虫传播性,本文以dvwa相关的模拟环境做概念性验证,对于用户的影响主要从机密性,可用性,完整性方面进行探讨。
安全的风险的组成首先具备相关资产,存在对应漏洞和可能的威胁的情况下才存在。xss已经是一类常见的漏洞,组成风险主要涉及用户的数据资产和应用功能,如果有黑色产业链条为了盈利已经投身去做,就会对用户形成实际的威胁。
示例
锁定个人中心
通过xss锁定用户的个人资料,修改密码,利用受害者的恐惧、服从心理,威胁删除服务和修改数据来影响可用性,胁迫用户就范,在支付赎金后,通过技术手段恢复正常服务及密码。
滥用服务
xss实际上可以通过浏览器进行一系列活动,通过对生活服务类,个人相关、企业邮箱站点,可以通过威胁用户进行勒索。比如要求用户立即支付赎金,警告会以用户合法身份下大量的购物,火车票、外卖、订阅服务订单,或者警示将为站内联系人、好友发送侮辱性语言进行胁迫。用户虽然可以关闭浏览器不管不顾,但是该服务已对真实的世界的利益造成损害。
隐私泄露
获取了个人权限后,利用站点功能的本身保密性,逼迫要求用户支付一定的金额,否则将暴露用户的各项敏感信息,破坏私密性。在体检医疗信息、健康记录,个人邮件、聊天空间类的场景下有一定的威胁性。
诱骗恐吓
也可谎称在用户的电脑网页中发现病毒信息,诱骗用户下载伪装的杀毒软件,或者利用公检法的套路,警告将以用户身份通过上传功能发布黄赌毒内容,诱导受害者主动和骗子联系,进行下一步行为诱导安装主机勒索软件,或者通过现实场景实施勒索犯罪行为。
防范建议
网络安全领域持续发展,用户需要避免点击可疑链接,保持良好的上网习惯。站点服务提供者需要具备一定的安全防御能力,长期防微杜渐,任何低级别的漏洞均有丰富发散的利用空间,务必遵从隐私保护协议,做好安全开发,更好地从用户角度,实现安全能力建设。