信息安全 - 被日志中的“不可能点击”吓坏了 - 吾爱随笔录

被日志中的“不可能点击”吓坏了

信息安全恶意软件苹果系统间谍软件

2021-09-01 04:26:53

我正在上演一个隔离的生产环境，并从我的本地 mac 访问它的远程 PHP 脚本 http://example.com/XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0

我在日志中看到我的点击如下：

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672410,
  "ip_address":"MY.IP.AD.DR",
  "user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/68.0.3440.106 Safari\/537.36",
  "referer":null,
  "parameter":"XXX"
}

当我在日志的下一行看到以下内容时，我简直不敢相信自己的眼睛：

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672411,
  "ip_address":"159.203.81.ADDR",
  "user_agent":"Mozilla\/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko\/20100101 Firefox\/33.0",
  "referer":"83.222.249.ADDR",
  "parameter":"XXX"
}

仅仅一秒钟后（参见“时间戳”），来自数字海洋 IP“159.203.81.ADDR”的点击使用了假用户代理和假引用者，具有完全相同的 GET 参数（“XXX”）。他们根本不可能知道几分钟前我的本地机器随机生成的 ID“XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0”。

我认为这意味着我的本地网络以某种方式受到损害？恶意软件正在嗅探我的网络活动，并且由于请求是非 HTTPS 的，因此恶意软件能够复制它以监视敏感信息？

我已经使用 ClamAV 和 Malwarebytes 扫描了我的本地 mac 中的恶意软件，但都没有找到任何东西。我怎样才能找到这件事的底部？会不会是我家的路由器感染了恶意软件？

我不确定这是否相关，但最近我在我的 mac 和移动设备上体验过有线的东西。例如，在浏览随机网站时，我有时会突然被重定向到诈骗广告网站（“恭喜您中奖，请输入您的信息……”）。我在我的移动设备上截取了其中一个截图：https ://imgur.com/a/UngqSlJ

4个回答

我们已经在我们的服务器上看到过这样的行为（几年前）：一些自动化进程试图重播登录用户发出的每个请求。

在我们的例子中，该服务要求登录页面使用 TLS，但允许登录用户在非 HTTPS 页面上继续他们的会话。但是，会话标识符在每次请求时都会更改，而使用的会话标识符在第一次被发送回服务器后的几秒钟内仍然有效（以减轻延迟问题）。

当您描述的模式被注意到时，我们对重复请求的来源或来源进行了一些调查。当我们降低重复使用的会话标识符的失效超时时，很快就会发现针对某些用户的所有请求都是重复的，但这种模式只针对不同的用户子集出现。

事实证明，这部分用户的共同点是他们都在中国。我们假设这是中国防火墙的一个功能，将整个服务切换到（强制）HTTPS，重复请求停止了。

因此，长话短说，由于您通过非 TLS 连接连接到远程 PHP 脚本，因此任何人（包括许多自动化进程）都可能在您的请求中列出。这可能是邪恶的，但也很容易成为某处的安全功能（例如反恶意软件检测等）。

切换到 HTTPS，看看它是否继续。如果它停止，您就解决了问题。如果它继续，您的请求将在您的端点之一（您的服务器或本地计算机）被拦截。

它可能是您系统或网络中的一些安全软件，它会检查您访问的 URL 是否有害。他们经常从与安全公司没有明显关联的系统进行访问，因为如果攻击者检测到来自安全公司的机器人，他们通常会尝试提供无辜的内容。因此，与其尝试查找任何恶意软件，不如尝试禁用系统上或网络内部的所有安全软件，看看问题是否消失。

这可能有几个原因。从我的角度来看，最有可能的是某种形式的恶意软件，但它不一定在你的 Mac 上。

恶意软件的主要问题之一是：即使您设法检测到一个受感染的文件（或恶意软件的一个实例），删除或销毁它也不一定会删除恶意活动的来源。它可能只是一个子文件。因此，也许您感染了某些东西，也许您的移动设备被感染或也被感染了，也许它另外或只是您的路由器。

所以这是一个可悲的事实：如果不重置整个设备，您几乎没有机会摆脱它。如果您有一个旧的或维护不善的路由器（关于更新和安全性），您可能也必须重置它。如果您想深入研究取证，我还建议您不要在实时系统上执行此操作，具体取决于您是否还想以其他方式使用它们。很抱歉带来坏消息。

你注意到这个事实了吗？

您是否设置了防火墙并限制了暂存环境。如果不是，您可能与您的企业签署的合同和 NDA 现在无效，或者如果其他人可以访问您通常具有商业机密的暂存环境，他们可能会对您提起诉讼。这些是您在不雇用或寻求专业安全服务的情况下遇到的影响。

如果您在 appsec 方面和我一样熟练，我作为安全工程师的经验非常丰富。暂存环境应始终使用 TLS 协议以及防火墙、使用 iptables 并且只允许属于您的公司 Intranet 或 VPN 的某些子网访问此暂存实例。

您是否实施了基本身份验证或为您的暂存实例设置防火墙，或者至少在与该暂存实例通信时使用了 TLS？

是/否？

核心问题

我很确定您没有使用公司 VPN，也没有通过 IP 限制对登台实例的访问。第一点要注意。

其次，TLS 协议未实现导致网络请求被拦截。

其它你可能感兴趣的问题

上一篇safelinks.protection.outlook.com 链接是网络钓鱼吗？下一篇HSTS：点击证书错误