Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:analiza_megacart_skimmera [2025/01/23 20:55]
Kiramarios Dario [Zaključak] 		racfor_wiki:seminari2024:analiza_megacart_skimmera [2025/01/26 22:05] (trenutno)
Kiramarios Dario [Link na video o Magecart skimmeru]
Redak 1: Redak 1:
-===== Magecart skimmer =====+===== Analiza Magecart skimmera=====
  
 ==== Sažetak === ==== Sažetak ===
Redak 18: Redak 18:
 U današnjem modernom i tehnološkom dobu gotovo svaka trgovina ima svoju digitalnu verziju trgovine. Digitalne verzije trgovina postaju sve popularnije i imaju sve veći udio u broju ostvarenih kupovina u odnosu na fizičke verzije trgovina. Magecart skimmer predstavlja jednu veliku i ozbiljnu prijetnju upravo tim e-trgovinama.  U današnjem modernom i tehnološkom dobu gotovo svaka trgovina ima svoju digitalnu verziju trgovine. Digitalne verzije trgovina postaju sve popularnije i imaju sve veći udio u broju ostvarenih kupovina u odnosu na fizičke verzije trgovina. Magecart skimmer predstavlja jednu veliku i ozbiljnu prijetnju upravo tim e-trgovinama. 
  
-Magecart skimmer, koji je ime dobio po **platformi za e-trgovine Magento**, je vrsta kibernetičkog napada koji primarno cilja e-trgovine trgovine mnogih firmi kako bi ukrala privatne bankovne podatke njihovih kupaca i korisnika i najčešće preprodala te podatke na raznim ilegalnim stranicama na Dark Webu.+Magecart skimmer, koji je ime dobio po **platformi za e-trgovine Magento**, je vrsta kibernetičkog napada koji primarno napada e-trgovine mnogih firmi kako bi ukrala privatne bankovne podatke njihovih kupaca i korisnika i najčešće preprodala te podatke na raznim ilegalnim stranicama na Dark Webu.
  
 Cilj ovog seminara je predstaviti što je Magecart skimmer, kako funkcionira, koga pogađa te će biti spomena kako se može zaštititi od njega. Također će se analizirati dva stvarna primjera sa zaraženih stranica i razne tehnike koje su napadači koristili tijekom provođenja napada. Time će se prikazati kompleksnost napada i zašto je on bio (ili još uvijek je) tako uspješan kibernetički napad. Cilj ovog seminara je predstaviti što je Magecart skimmer, kako funkcionira, koga pogađa te će biti spomena kako se može zaštititi od njega. Također će se analizirati dva stvarna primjera sa zaraženih stranica i razne tehnike koje su napadači koristili tijekom provođenja napada. Time će se prikazati kompleksnost napada i zašto je on bio (ili još uvijek je) tako uspješan kibernetički napad.
Redak 50: Redak 50:
  
 Zadnji korak je **eksfiltracija podataka** što podrazumijeva neki način prijenosa podataka od servera ili žrtvinog preglednika do napadača ili nekog njegovog servera. Eksfiltracija se isto može izvesti na više načina, a neki od njih su: Zadnji korak je **eksfiltracija podataka** što podrazumijeva neki način prijenosa podataka od servera ili žrtvinog preglednika do napadača ili nekog njegovog servera. Eksfiltracija se isto može izvesti na više načina, a neki od njih su:
-  * POST zahtjev koji u sebi ima 1 naizgled običnu sliku koja zapravo u sebi ima Base64 enkodirane privatne žrtvine podatke,+  * POST zahtjev koji u sebi ima 1 naizgled običnu sliku koja zapravo u sebi ima Base64 kodirane privatne žrtvine podatke,
   * spremanje privatnih podataka u 1 sliku koja se sprema u bazu podataka i onda napadač povremeno pristupi toj slici i preuzme ukradene podatke,   * spremanje privatnih podataka u 1 sliku koja se sprema u bazu podataka i onda napadač povremeno pristupi toj slici i preuzme ukradene podatke,
   * aktivno slanje podataka tijekom upisivanja na stranicu (korištenjem keyloggera),   * aktivno slanje podataka tijekom upisivanja na stranicu (korištenjem keyloggera),
Redak 97: Redak 97:
   * **Newegg (2018.)**: Korištena varijacija Magecart skimmera je naprednija i „pametna“ te je izgledom ubačenog malicioznog HTML koda jako dobro replicirala legitimni kod stranice i zato je bilo jako teško otkriti napad. Također je napadala Newegg sustav plaćanja. Napad je bio neotkriven preko mjesec dana.   * **Newegg (2018.)**: Korištena varijacija Magecart skimmera je naprednija i „pametna“ te je izgledom ubačenog malicioznog HTML koda jako dobro replicirala legitimni kod stranice i zato je bilo jako teško otkriti napad. Također je napadala Newegg sustav plaćanja. Napad je bio neotkriven preko mjesec dana.
   * **Forbes Magazine (2019.)**: Ovo je dobar pokazatelj da nisu mete samo firme gdje se upisuju osjetljive informacije, već i neke „obične“ firme. Ovdje se nisu pokušavali ukrasti podaci koji se upisuju na stranicu već podaci koji su spremljeni u preglednik osobe koja posjećuje stranicu.   * **Forbes Magazine (2019.)**: Ovo je dobar pokazatelj da nisu mete samo firme gdje se upisuju osjetljive informacije, već i neke „obične“ firme. Ovdje se nisu pokušavali ukrasti podaci koji se upisuju na stranicu već podaci koji su spremljeni u preglednik osobe koja posjećuje stranicu.
-  * **Segway Store (2022.)**: Segway napad je primjer novijeg napada, ali i također evolucije infiltracije Magecart skimmera. Kod je ubačen na preko favicon slike koja je jako dugo bila neotkrivena zbog svoje jednostavnosti i neočekivane malicioznosti „obične“ favicon slike. +  * **Segway Store (2022.)**: Segway napad je primjer novijeg napada, ali i također evolucije infiltracije Magecart skimmera. Kod je ubačen preko favicon slike koja je jako dugo bila neotkrivena zbog svoje jednostavnosti i neočekivane malicioznosti „obične“ favicon slike. 
  
 Kao što se vidi iz raznih primjera, Magecart skimmer pogađa veliki raspon firmi, ali ima preferenciju za e-trgovinama. Kao što se vidi iz raznih primjera, Magecart skimmer pogađa veliki raspon firmi, ali ima preferenciju za e-trgovinama.
Redak 105: Redak 105:
  
  
-Postoje razne zakonske kazne predviđene za gubitak povjerljivih podataka klijenta. U Europi postoji GDPR (General Data Protection Regulation) koji propisuje kaznu za poduzeća ovisno o vrsti i ozbiljnosti propusta. GDPR propisuje maksimalnih 4% ukupnog globalnog prometa prethodne fiskalne godine ili 20 milijuna eura kao najveću potencijalnu kaznu, koje god je veće od tog dvoje ([[https://gdpr-info.eu/issues/fines-penalties/ |izvor 5]]). Osim novčane kazne, također dolazi do velikog gubitka reputacije, potencijalnog bankrota, gubitka klijenata i mnogih drugih posljedica za organizaciju. +Postoje razne zakonske kazne predviđene za gubitak povjerljivih podataka klijenta. U Europi postoji GDPR (General Data Protection Regulation) koji propisuje kaznu za poduzeća ovisno o vrsti i ozbiljnosti propusta. GDPR propisuje najveću kaznu od maksimalnih 4% ukupnog globalnog prometa prethodne fiskalne godine ili 20 milijuna eura te kao kaznu uzima veće od tog dvoje ([[https://gdpr-info.eu/issues/fines-penalties/ |izvor 5]]). Osim novčane kazne, također dolazi do velikog gubitka reputacije, potencijalnog bankrota, gubitka klijenata i mnogih drugih posljedica za organizaciju. 
  
 Osim organizacija ispaštaju i korisnici tj. klijenti čiji su podaci ukradeni. Te osobe mogu imati velike financijske gubitke zbog ukradenih bankovnih podataka, ali mogu imati probleme sa zakonom zbog potencijalne krađe identiteta.   Osim organizacija ispaštaju i korisnici tj. klijenti čiji su podaci ukradeni. Te osobe mogu imati velike financijske gubitke zbog ukradenih bankovnih podataka, ali mogu imati probleme sa zakonom zbog potencijalne krađe identiteta.  
Redak 131: Redak 131:
 **Slika 4**: Obfuscirani kod, [[https://blog.cloudflare.com/navigating-the-maze-of-magecart/|Izvor]] **Slika 4**: Obfuscirani kod, [[https://blog.cloudflare.com/navigating-the-maze-of-magecart/|Izvor]]
  
-Daljnjim istraživanjem je otkriveno na koju se stranicu šalju rezultati te skripte koja glasi „https://jsdelivr\[.\]at/f\[.\]php“  što je jako slično i blisko ime legitimnoj stranici „https://www[.\]jsdelivr[.\]com/“. Analizirajući stranicu na koju se šalju podaci otkriveno je mnogo toga, poput datum registracije, pokušaj mijenjanja imena za točno 1 slovo ( 1 slovo razlike u odnosu na legitimno ime) te da je **1337team Limited** registrirao tu stranicu. 1337team Limited je poznat po registriranju raznih stranica upitne legalnosti.+Daljnjim istraživanjem je otkriveno na koju se stranicu šalju rezultati te skripte koja glasi „https://jsdelivr\[.\]at/f\[.\]php“  što je jako slično i blisko ime legitimnoj stranici „https://www[.\]jsdelivr[.\]com/“. Analizirajući stranicu na koju se šalju podaci otkriveno je mnogo toga, poput datum registracije, pokušaj mijenjanja imena za točno 1 slovo (1 slovo razlike u odnosu na legitimno ime) te da je **1337team Limited** registrirao tu stranicu. 1337team Limited je poznat po registriranju raznih stranica upitne legalnosti.
  
 == Dekodiranje skripte == == Dekodiranje skripte ==
Redak 162: Redak 162:
  
 {{ :racfor_wiki:seminari2024:5-trecavarijacijameta.png?600 |}} {{ :racfor_wiki:seminari2024:5-trecavarijacijameta.png?600 |}}
-**Slika 8**: Maliciozni Meta Pixel kod koji pokušava dohvatiti neposotjeći /icons/ put, [[https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer/|Izvor]]+**Slika 8**: Maliciozni Meta Pixel kod koji pokušava dohvatiti nepostojeći /icons/ put, [[https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer/|Izvor]]
  
 No, čemu to služi i zašto skripta namjerno pokušava dohvatiti nešto što ne postoji? Stvar je u tome što je to ciljano ponašanje ove varijacije Magecart skimmera. Nakon što se sve učita i stranica pokuša dohvatiti nepostojeći resurs, izbaciti će se **404 Not Found error** što je naizgled nevino. Ono što se zapravo u pozadini događa je prikazano na slici 9. Kod sa slike se aktivira tijekom prikazivanja error stranice i on traži poklapanje sa zadanim regularnim izrazom (**COOKIE_ANNOT**) u HTML kodu na stranici na koju se vraća.  No, čemu to služi i zašto skripta namjerno pokušava dohvatiti nešto što ne postoji? Stvar je u tome što je to ciljano ponašanje ove varijacije Magecart skimmera. Nakon što se sve učita i stranica pokuša dohvatiti nepostojeći resurs, izbaciti će se **404 Not Found error** što je naizgled nevino. Ono što se zapravo u pozadini događa je prikazano na slici 9. Kod sa slike se aktivira tijekom prikazivanja error stranice i on traži poklapanje sa zadanim regularnim izrazom (**COOKIE_ANNOT**) u HTML kodu na stranici na koju se vraća. 
Redak 280: Redak 280:
 ==== Gdje se može više pročitati i naučiti? ==== ==== Gdje se može više pročitati i naučiti? ====
  
-Postoje mnogi kvalitetni izvori koji su korišteni tijekom pisanja ovog seminara i svi su navedeni u literaturi. Osim tih izvora, postoje neki nespomenuti izvor, a autor teksta ih je obradio tijekom istraživanja za ovu temu. Neki dobri i kvalitetni članci o Magecart skimmer napadu su:+Postoje mnogi kvalitetni izvori koji su korišteni tijekom pisanja ovog seminara i svi su navedeni u literaturi. Osim tih izvora, postoje neki nespomenuti izvori, a autor teksta ih je obradio tijekom istraživanja ove teme. Neki dobri i kvalitetni članci o Magecart skimmer napadu su:
   * Generalni pregled Magecart skimmer napada i vizualizacija napada, izvor: [[https://blog.bushidotoken.net/2020/01/deep-dive-magecart-collective.html]]   * Generalni pregled Magecart skimmer napada i vizualizacija napada, izvor: [[https://blog.bushidotoken.net/2020/01/deep-dive-magecart-collective.html]]
   * Prikaz zašto JavaScript i GitHub nisu uvijek sigurni, izvor: [[https://www.feroot.com/blog/magecart-and-e-skimming-why-javascript-and-github-arent-always-safe/]]   * Prikaz zašto JavaScript i GitHub nisu uvijek sigurni, izvor: [[https://www.feroot.com/blog/magecart-and-e-skimming-why-javascript-and-github-arent-always-safe/]]
   * Skimmer pronađen u slici na GitHub repozitoriju, izvor: [[https://blog.sucuri.net/2020/07/skimmers-in-images-github-repos.html]]    * Skimmer pronađen u slici na GitHub repozitoriju, izvor: [[https://blog.sucuri.net/2020/07/skimmers-in-images-github-repos.html]] 
-  * Detaljna analiza više primjera cijelog Magecart skimmer napada, već je naveden u literaturi, ali stavljam posebni naglasak na ovaj članak jer je jako dobar i detaljan, izvor: [[https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer]]+  * Detaljna analiza više primjera cijelog Magecart skimmer napada, već je naveden u literaturi, ali stavljam posebni naglasak na ovaj članak jer je detaljan, izvor: [[https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer]]
  
 ==== Link na video o Magecart skimmeru ==== ==== Link na video o Magecart skimmeru ====
  
 Link na video o Magecart skimmeru koji vodi na OneDrive folder u kojem je video: Link na video o Magecart skimmeru koji vodi na OneDrive folder u kojem je video:
-LINK+[[https://1drv.ms/f/s!AjSAwHQdrh1BxpUDUMmdIlA-v2Dx0w?e=byoPAh|OneDrive link]] 
 + 
 +Na linku su dva videa, jedan sa titlovima i jedan bez titlova.
  
 ==== Literatura ==== ==== Literatura ====
racfor_wiki/seminari2024/analiza_megacart_skimmera.1737665720.txt.gz · Zadnja izmjena: 2025/01/23 20:55 od Kiramarios Dario
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0