駭客將資安工具用於從事網路攻擊的情況不時傳出,其中最常出現的是滲透測試工具Cobalt Strike,後來也有濫用Brute Ratel C4(BRc4)、紅隊演練工具EDRSilencer的事故,如今有人將歪腦筋動到檢測應用程式安全的工具上。為了強化軟體開發安全,有資安業者開始提供名為界外應用程式安全測試(Out-of-Band Application Security Testing,OAST)的機制,藉此在網頁應用程式找出弱點,但如今這種機制也被不肖份子濫用,拿來從事惡意套件攻擊。
資安業者Socket過去一年發現一種新型態的惡意JavaScript、Python、Ruby套件,其共通點就是濫用oastify.com、oast.fun等OAST檢測服務,將敏感資料傳送到攻擊者的伺服器,而且,他們發現攻擊者利用這類工具來竊取資料、建立C2通道,甚至是進行多階段攻擊的情況越來越頻繁。
什麼是OAST?這是一種檢測網頁應用程式的機制,最早是由應用程式資安業者PortSwigger提出,目的是改良現有的動態應用程式安全測試(DAST)機制,找出DAST無法發現的弱點,並減少靜態應用程式安全測試(SAST)造成誤報的情形。OAST工具能讓資安人員藉由DNS查詢、HTTP請求,以及各式網路互動的方式來找出應用程式的弱點。
雖然OAST原本的立意良善,但也成為攻擊者濫用的標的。研究人員舉出其中3種他們發現的惡意套件為例,名為adobe-dcapi-web的NPM套件設置相當高的版號(如99.99.99),使得自動更新的開發人員就會隨之套用到開發環境,此套件經由透過混淆處理的JavaScript程式碼,將敏感資料傳送到OAST平臺oastify.com。
另一個名為monoliht的PyPI套件,則是透過惡意指令碼收集開發人員電腦的中繼資料,並將搜括的資料傳送到多個惡意網站。
第三個是RubyGems惡意套件,攻擊者以chauuuyhhn、nosvemosssadfsd、holaaaaaafasdf名稱上架,其特點是藉由DNS查詢來收集資料。研究人員指出,由於入侵偵測系統(IDS)通常會將DNS流量視為良性,使得攻擊者降低被發現的風險。
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-06
2025-01-07