Serviciul web este unul dintre cele mai populare servicii utilizate de o organizatie enterprise, alaturi de serviciul de email si cel de transfer de fisiere. In consecinta, reprezinta o tinta foarte atragatoare pentru actorii rau-intentionati care vor dori sa exploateze acest vector de intrare in reteaua companiei in beneficiul lor.
Organizatia trebuie sa implementeze masuri de protectie adecvate pentru a-si proteja utilizatorii, dispozitivele si datele de efectele negative pe care compromiterea acestor bunuri ar putea sa le aiba asupra credibilitatii si stabilitatii financiare ale business-ului.
Atacatorii au la dispozitie o multime de mecanisme prin care sa exploateze aceasta suprafata de atac.
Utilizarea URL-urilor malitioase sau a scripturilor de redirectare prin care se incearca directionarea utilizatorului catre un anumit site, download-area de continut malitios prin atacuri de genul “watering hole” sau “drive-by”, injectarea de cod malitios intr-un site web legitim, dar compromis de catre atacator cu scopul de a colecta informatii personale sau credentiale de acces sunt doar cateva din metodele preferate de catre actorii rau-intentionati. Pe langa aceastea se mai pot folosi atacuri care exploateaza vulnerabilitati ale browser-elor web, atacuri de tipul brute force care vizeaza accesul la un server web, atacuri de tip DDoS (Distributed Denial of Service) cu scopul de a perturba disponibilitatea unei aplicatii sau a unui site web si atacuri care vizeaza platforme de management al continutului (Content Management Systems – CMS), cum ar fi WordPress, Joomla sau Drupal.
Serverele care gazduiesc site-urile web trebuie sa fie si ele securizate intrucat ele gazduiesc si bazele de date care contin credentialele utilizatorilor, iar compromiterea acestora face posibila ca persoane necunoscute si rau-voitoare sa aiba acces la conturile si informatiile personale ale utilizatorilor. Aceste date pot apoi fi vandute pe DarkWeb (piata neagra a hackerilor) sau publicate pe anumite site-uri sau forumuri la care are acces oricine. Astfel, furtul de identitate devine foarte rapid o situatie cu care oricare dintre noi se poate confrunta de pe o zi pe alta.
Exemple de atacuri web
1. URL-uri malitioase – sunt link-uri create cu intentia de a distribui malware sau cu scopul de e supune utilizatorul unei inselaciuni. Adesea, procesul apeleaza la tehnici de inginerie sociala pentru a incuraja user-ul sa actioneze asupra URL-ului, si astfel sa declanseze procesul prin care malware-ul (de exemplu, rasnsomware) sau continutul malitios ajunge pe dispozitiv si trece la compromiterea acestuia.
2. Formjacking – atacatorii reusesc sa injecteze cod malitios in formularele de plata ale site-urilor de e-commerce. Acest tip de atac captureaza date bancare si informatii de identificare personala (Personable Identifiable Information). Utilizatorul foloseste formularul pentru a completa detaliile necesare unei tranzactii, iar o data ce formularul este submis scriptul malitios trimite datele catre portalul de plata al site-ului, dar si catre actorul rau-voitor. Acesta poate apoi dispune de aceste date dupa bunul plac: santajarea victimei cu scopul de a castiga o suma de bani, vanzarea datelor pe Darkweb, impersonarea utilizatorui sau compromiterea altor conturi de-ale utilizatorului.
3. Drive-by downloads – in acest tip de atac, utilizatorul viziteaza un site legitim, dar care a fost compromis si care se afla sub controlul atacatorilor. Folosind anumite scripturi, acesti reusesc sa upload-eze malware pe server-ul web si, mai apoi, sa distribuie acest malware pe statiile victimelor. Atacatorii exploateaza vulnerabilitati cunoscute, dar neremediate ale versiunilor de server web, ale browser-elor si plugin-urilor sau redirectioneaza utilizatorul catre un server detinut de atacatori.
4. Watering hole – acest atac reprezinta mai mult o strategie din partea atacatorilor prin care se observa comportamentul unei organizatii cu privire la modul in care aceasta acceseza site-urile web. Atacatorii vor compromite un site foarte uzitat de catre organizatie, si astfel sansele de a compromite un membru de-ai organizatiei si implicit intreaga companie, cresc foarte mult. Atacatorii urmaresc informatii specifice acelui business, executand atacul doar daca utilizatorul are o anumita adresa IP sursa, ceea ce face ca atacul sa fie mai greu de detectat si de contracarat.
Cateva solutii la aceste atacuri
1. Restrictionarea continutului web prin folosirea de proxy-uri web este o tehnica foarte eficienta de protectie impotriva atacurilor web. Definirea unor liste de URL-uri blocate, folosirea de adblock-ere si blocarea executiei JavaScript-urilor vor limita posibilitatea de a executa cod malitios la vizitarea anumitor site-uri web.
2. Monitorizarea email-ului de tip web pentru a detecta si preveni livrarea de URL-uri malitioase si de fisere/continut malitios.
3. Actualizarea sistemului de operare si a aplicatiilor (browser-e, plugin-uri, add-on-uri) reprezinta intotdeauna o metoda eficienta de a combate atacurile lansate asupra unui dispozitiv.
4. Serverele web trebuie sa fie verificate periodic, scanand fisierele si scripturile locale cu o solutie de tip antimalware. De asemenea, plasarea in fata acestor servere a unor firewall-uri de aplicatii web (WAF) reprezinta o practica foarte recomandata.
5. Pentru endpoint-uri se recomanda solutii de protectie care combina functii de host intrusion prevention system (HIPS) si antimalware, care functioneaza mai departe de o simpla scanare pe baza de semnaturi a fisierelor locale, si foloseste algoritmi heuristici si analiza comportamentala pentru a detecta forme avansate de exploit-uri.
6. Utilizarea unei solutii de protectie la nivel de DNS care va filtra domeniile malitioase si suspicioase. Astfel, utilizatorul nu se va putea compromite, intrucat nu va putea ajunge la respectivul site malitios, chiar si cand se incearca in fundal redirectarea user-ului spre site-ul atacatorului.
Mihai Dumitrascu, Sr Systems Engineer
