请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
一、排查过程
-
经排查安全设备日志告警,在最近一月告警中并未发现异常,从OA系统本身排查发现,被挂黑链的地方插入了恶意链接 231.729069.cc。
-
并在网络请求中搜索到 231.729069.cc该链接位于http://v3.jiathis.com/code/jia.js链接的响应体中
-
通过分析 http://v3.jiathis.com/code/jia.js,发现该脚本文件是一款提供网页地址收藏、分享及发送的WEB2.0按钮工具,主要功能为聚合社交书签网站分享服务。 -
后在源码中删掉该组件引用代码后,系统恢复正常。
二、攻击技术分析
-
通过分析jia.js文件,发现该文件已被篡改,插入了恶意图片,该事件疑似为JavaScript供应链投毒攻击,攻击呈现以下4点特征:
-
跨平台攻击:针对PC、iOS和Android不同设备。 -
隐蔽性强:利用知名CDN(阿里云imgextra)托管恶意图片。 -
域名可疑:使用数字组合域名(231.xxx.cc),疑似临时攻击域名。 -
供应链攻击:直接污染第三方服务源头,影响范围极广。
var configs = {
pc: {
img: 'https://img.alicdn.com/imgextra/i2/O1CN01qBz63R1fMqbKjRej9_!!2080933993-1-fleamarket.gif',
link: 'https://231.729069.cc',
},
ios: {
img: 'https://img.alicdn.com/imgextra/i3/O1CN01ZE7Pgo1fMqbJs44ah_!!2080933993-1-fleamarket.gif',
link: 'https://231.3222702.cc',
},
android: {
img: 'https://img.alicdn.com/imgextra/i3/O1CN01ZE7Pgo1fMqbJs44ah_!!2080933993-1-fleamarket.gif',
link: 'https://231.4206071.cc',
},
};
三、事件影响分析
-
根据网络资产扫描结果,十余万使用JiaThis分享组件的网站均已受到恶意篡改影响,影响范围十分广泛。 部分互联网案例:
四、解决方案
1、删除v3.jiathis.com/code/jia.js文件引用:
<!-- 立即删除或注释掉以下代码 -->
<script src="//v3.jiathis.com/code/jia.js"></script>
<script src="http://v3.jiathis.com/code/jia.js"></script>
<script src="https://v3.jiathis.com/code/jia.js"></script>
2、临时替代方案
-
使用本地化分享组件:将分享代码下载到本地服务器。 -
切换其他分享服务:考虑使用ShareJS、百度分享等替代方案。 -
暂时移除分享功能:在问题解决前暂时禁用。
3、网络层防护
-
立即封禁以下恶意域名:
231.4206071.cc
231.729069.cc
231.3222702.cc
本篇文章来源于微信公众号: 洪椒攻防实验室
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
