مخفی‌کردن بدافزار در تصاوير موجود در شبکه‌ی توزيع محتوای GoogleUserContent

چهارشنبه ۰۳ مرداد ۱۳۹۷
شبکه‌ی توزیع محتوای "GoogleUserContent" برای میزبانی تصاویر مخرب مورد استفاده قرار گرفته است.
مرکز آپا شریف
SUT-APA-LOGO

محققان امنیتی در شرکت امنیت وب Sucuri، اخیراً یک پویش توزیع بدافزار کشف کرده‌اند که در آن، شبکه‌ی توزیع محتوای (Content Delivery Network) “GoogleUserContent” برای میزبانی تصاویر مخرب مورد استفاده قرار گرفته است.
هکرها کد مخرب را در زمینه‌های ابرداده‌ی تصاویر میزبانی‌شده در CDN رسمی گوگل (googleusercontent.com) مخفی می‌کنند، زیرا تصاویر، به‌ندرت برای بررسی بدافزار اسکن می‌شوند.
نوع تصاویری که در این دامنه میزبانی می‌شود، معمولاً عکس‌هایی هستند که در سایت‌های “Blogger.com” و شبکه‌ی اجتماعی “Google+” آپلود شده‌اند.
به گفته‌ی محققان، آن‌ها فعالیت یک بدافزار را کشف کردند که بر روی سرقت شناسه‌های امنیتی “PayPal” (برای دورزدن تأیید اعتبار PayPal) متمرکز است و کلاه‌برداران، تصویری را که در “googleusercontent.com” میزبانی می‌شود، استخراج و سپس کد موجود در زمینه‌ی “UserComment” ابرداده‌ی “EXIF” (Exchangeable Image File Format) را اجرا می‌کنند.
کد موجود در این زمینه، یک رشته‌ی کدگذاری‌شده‌ی “Base64” است که پس از چندین‌بار رمزگشایی، به یک اسکریپت تبدیل می‌شود. این اسکریپت‌ می‌تواند با آپلود یک پوسته‌ی وب ازپیش تعریف‌شده یا فایل‌های دلخواه، صفحات تعریف‌شده را جاگذاری کند، درپشتی ایجاد کند و سپس سایت‌های تبلیغاتی را به سایت مهاجم ارسال کنند.
سربرگ‌های EXIF ​​به‌صورت خودکار توسط دوربین‌های دیجیتال تولید می‌شوند تا اطلاعات دوربین را در سربرگ‌های “JPEG” و “TIFF” ضبط کنند. هکرها می‌توانند با استفاده از هر آسیب‌پذیری در وب‌سایتی که کد آن‌را افشا می‌کند، به داده‌های EXIF​ در تصاویر موجود دسترسی پیدا کنند و اسکریپت‌های مخرب را در آن وب‌سایت تزریق کنند.
چیزی که توجه محققان را به‌خود جلب کرد، ترفند مخفی کردن کد مخرب در زمینه‌های EXIF ​​تصویر نبود، بلکه استفاده از شبکه‌ی تحویل محتوای GoogleUserContent برای میزبانی این فایل‌ها بود. میزبانی تصاویر در شبکه‌ی توزیع محتوای GoogleUserContent یک رویکرد منحصر به فرد بود، همین موضوع موجب سردرگمی محققان شده بود.
مهم‌ترین مسئله این بود که هیچ روش ساده‌ای برای گزارش تصویر مخرب به Google وجود نداشت، چراکه در این شبکه، تنها فرم‌هایی برای گزارش نقض حق نسخه‌برداری ارایه شده است و راهی برای گزارش مسائل امنیتی وجود ندارد.
گوگل، ابزارهای بسیاری برای حذف محتوا دارد، اما روشی برای گزارش خرابی در تصاویر ارایه نداده است. بسیاری از ابزارهای این وب‌‌سایت، نیاز به ارایه‌ی پیوندهایی به پست‌های اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند و تصویر در این وب‌سایت، به‌عنوان بخشی از محتوای عمومی شناخته شده نیست.
محققان نمی‌توانند منبع آپلودشدن این تصایر مخرب را پیدا کنند، زیرا URL‌های آن‌ها ناشناس هستند و فرمت یکسانی دارند. این تصاویر می‌توانند تصویری برای یک پست “Blogger”، پست “+Google” یا حتی یک عکس عمومی از “Google Photos” باشد.
کد مخربی که در تصاویر آپلود‌شده در سایت‌های گوگل پنهان شده است، از بدافزارهای میزبانی‌شده در سایر سایت‌های عمومی مانند بدافزار آپلودشده در GitHub، Pastebin، توییتر یا سایر سایت‌های مشابه، خارج می‌شود.
مهم‌ترین نکته در مورد این نوع حمله این است که می‌توان آن را تقریباً در همه‌جا در اینترنت پیدا کرد و مانند بسیاری از حملات مخرب، یک حمله‌ی تصادفی است (سایت‌های بسیار محبوب به‌اندازه‌ی سایت‌های جدید، کوچک یا خصوصی، آسیب‌پذیر هستند).
مدیران وب‌سایت‌ها می‌توانند با به‌روز ماندن با وصله‌های امنیتی، استفاده از کلمات عبور قوی و دیوار آتش و نظارت بر یکپارچگی فایل‌ها در کارگزارها، سطح حمله را در برابر این نوع تهدیدات به حداقل برسانند.