web服務也需防範勒索行為來襲

• 2020 年 1 月 26 日
• 筆記

勒索行為示例鎖定個人中心濫用服務隱私泄露誘騙恐嚇防範建議

想一下近年來安全行業比較火爆的勒索軟件的技術原理，自從WannaCry類漏洞算起，大都是利用永恆之藍漏洞配合通過smb弱口令進行傳播，通過對主機重要數據進行加密後提示要求比特幣渠道進行支付，用戶無奈妥協後客服會發送解密私鑰。任何遠程類漏洞的漏洞均可用于勒索軟件，比如mysql數據庫、框架類、路由器漏洞。如何不能用于勒索，那麼還能挖礦。

目前已知案例的漏洞利用技術均基於主機類的漏洞，這裡討論下通過xss搭配csrf這樣的web類安全漏洞進行勒索行為，同時給出相應的防範建議。xss是跨站腳本利用漏洞的簡稱，技術上分為反射型，dom型，存儲型，只有存儲型具備傳播性，難檢測性，蠕蟲傳播性，本文以dvwa相關的模擬環境做概念性驗證，對於用戶的影響主要從機密性，可用性，完整性方面進行探討。

安全的風險的組成首先具備相關資產，存在對應漏洞和可能的威脅的情況下才存在。xss已經是一類常見的漏洞，組成風險主要涉及用戶的數據資產和應用功能，如果有黑色產業鏈條為了盈利已經投身去做，就會對用戶形成實際的威脅。

示例

鎖定個人中心

通過xss鎖定用戶的個人資料，修改密碼，利用受害者的恐懼、服從心理，威脅刪除服務和修改數據來影響可用性，脅迫用戶就範，在支付贖金後，通過技術手段恢復正常服務及密碼。

濫用服務

xss實際上可以通過瀏覽器進行一系列活動，通過對生活服務類，個人相關、企業郵箱站點，可以通過威脅用戶進行勒索。比如要求用戶立即支付贖金，警告會以用戶合法身份下大量的購物，火車票、外賣、訂閱服務訂單，或者警示將為站內聯繫人、好友發送侮辱性語言進行脅迫。用戶雖然可以關閉瀏覽器不管不顧，但是該服務已對真實的世界的利益造成損害。

隱私泄露

獲取了個人權限後，利用站點功能的本身保密性，逼迫要求用戶支付一定的金額，否則將暴露用戶的各項敏感信息，破壞私密性。在體檢醫療信息、健康記錄，個人郵件、聊天空間類的場景下有一定的威脅性。

誘騙恐嚇

也可謊稱在用戶的電腦網頁中發現病毒信息，誘騙用戶下載偽裝的殺毒軟件，或者利用公檢法的套路，警告將以用戶身份通過上傳功能發佈黃賭毒內容，誘導受害者主動和騙子聯繫，進行下一步行為誘導安裝主機勒索軟件，或者通過現實場景實施勒索犯罪行為。

防範建議

網絡安全領域持續發展，用戶需要避免點擊可疑鏈接，保持良好的上網習慣。站點服務提供者需要具備一定的安全防禦能力，長期防微杜漸，任何低級別的漏洞均有豐富發散的利用空間，務必遵從隱私保護協議，做好安全開發，更好地從用戶角度，實現安全能力建設。