谷歌用户内容 CDN 被用于托管恶意软件

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

黑客正将恶意代码隐藏在托管在谷歌官方CDN（内容分发网络）googleusercontent.com上的图片元数据字段中。

被托管在该域名上的图像类型通常是上传至 Blogger.com 站点和 Google+ 社交网络上的照片。

Sucuri 公司的研究员 Denis Sinegubko 最近发现一个恶意软件分发活动利用 GoogleUserContent CDN 托管这类恶意图像。

从 EXIF 字段到 web shell

周三，Sinegubko 发布报告称发现一个恶意软件活动专注于窃取 PayPal 安全令牌（以绕过 PayPal 认证）。犯罪分子加载托管在 gooleusercontent.com 上的图像，提取并执行从 “UserComment” EXIF 元数据字段中找到的代码。

这个字段中包含的代码是一个 Base6 编码字符串，当多次解码时最终会变成一个脚本，从而将预定义 web shell 和多种其它文件上传至受攻陷服务器上。随后可使用该 web shell 涂鸦服务器，并将遭成功利用的站点地址通过邮件发送给攻击者。

难以拿下恶意图像

引起Sinegubko注意的并不是将恶意代码隐藏在某个图像的EXIF字段中，而是使用GoogleUserConent CDN托管这些文件。

犯罪分子此前曾将恶意代码隐藏在图像元数据字段中或者隐藏在图像本身（即隐写术）。

将图像托管在 GoogleUserContent CDN 中是一种特别方式，给 Sucuri 研究人员带来很多令人头疼的问题。最大的问题是无法简单地将恶意图像报告给谷歌。谷歌设置了版权侵权报告表单，而非安全问题报告表单。

Sinegubko 表示，“谷歌删除内容的工具有很多，但关于如何汇报图像中的恶意软件问题并非如此。多数工具要求提供包含侵权问题的原始帖子、页面或评论链接，而图像并不属于某些已知公共内容。”

研究人员无法识别恶意上传来源

研究人员指出，“我们甚至不知道创建图像的用户是谁。该图像可能是为 Blogger 帖子、Google+ 帖子甚至是 Google Photos 中的某张公共图片上传的。很难说明这些图像的来源，因为它们的 URL 被匿名化且格式相同。”

Sinegubko 表示隐藏在上传于谷歌站点上的恶意代码超过托管在其它公开站点上的恶意软件，如上传到 GitHub、Pastebin、Twitter 或其它类似服务上的恶意软件。

Sinegubko 还就图像文件的安全性扫描发出警告，多数基于 web 的安全扫描器基本忽略这些图像文件。

这类工具通常用于查找基于文本的文件如 HTML、PHP、JS 或其它经典服务器文件中的工具，而不会扫描托管或加载在站点上的图像的元数据。

https://www.bleepingcomputer.com/news/security/google-user-content-cdn-used-for-malware-hosting/