如何進行Google Analytics攻擊的分析

如何進行Google Analytics攻擊的分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

Web skimming是一種常見的攻擊方式，其目標(biāo)通常為在線購物者。原理很簡單：攻擊者將惡意代碼注入到受感染的站點，利用該站點收集用戶輸入數(shù)據(jù)并將其發(fā)送到指定服務(wù)器。如果攻擊成功，攻擊者就可以訪問購物者的付款信息。

攻擊分析

攻擊者通常會注冊流行網(wǎng)絡(luò)服務(wù)域名，尤其是Google Analytics(google-anatytics[.]com, google-analytcsapi[.]com, google-analytc[.]com, google-anaiytlcs[.]com, google-analytics[.]top, google-analytics[.]cm, google-analytics[.]to, google-analytics-js[.]com, googlc-analytics[.]com)。使用Google    Analytics收集訪問者數(shù)據(jù)，網(wǎng)站所有者必須在其analytics.google.com中配置跟蹤參數(shù)，獲取跟蹤ID（trackingId），然后將其插入網(wǎng)頁以及跟蹤代碼中。多個跟蹤代碼可以在一個站點上同時部署，將訪問者的數(shù)據(jù)發(fā)送到不同的Analytics帳戶。

最近在全球發(fā)現(xiàn)了大約二十個受感染的站點，受害者包括歐洲、北美和南美的數(shù)字設(shè)備，化妝品，食品，零件等商店。下圖顯示了帶有攻擊者跟蹤代碼和跟蹤ID的惡意代碼：

攻擊者試圖使用經(jīng)典的反調(diào)試技術(shù)隱藏其惡意活動。 下圖顯示了檢查訪問者瀏覽器中是否啟用了開發(fā)人員模式的代碼。

攻擊者給自己留下“調(diào)試”模式下監(jiān)視腳本的選項。 如果瀏覽器的本地存儲（localStorage）包含值'debug_mode'=='11'，即使在開發(fā)人員模式，惡意代碼也會執(zhí)行，并向控制臺寫入帶有錯誤的注釋。下圖為“調(diào)試模式”檢查代碼和R**加密算法（用于在數(shù)據(jù)發(fā)送之前對其進行加密）。    

如果通過了反調(diào)試，腳本將收集網(wǎng)站上輸入的所有內(nèi)容，使用Google Analytics對收集的數(shù)據(jù)進行加密發(fā)送， 收集和發(fā)送過程如下圖所示：    

通過調(diào)用“eventAction”字段中的send事件方法來發(fā)送數(shù)據(jù)，功能簽名為：

ga('send', 'event', {
  'eventCategory': 'Category',  //Protocol Parameter: ec; Value type: text; Max Lenght: 150 Bytes
  'eventAction': 'Action',    //Protocol Parameter: ea; Value type: text; Max Lenght: 500 Bytes
  'eventLabel': 'Label'     //Protocol Parameter: el; Value type: text; Max Lenght: 500 Bytes
});

HTTP請求發(fā)送到URL

https [：] // www.google-analytics.com/collect？<parameters>＆ea = packed_stolen_data＆<parameters>

下圖顯示了示例混淆選項，在此變體中會將來自firebasestorage.googleapis[.]com惡意腳本調(diào)用插入到受感染站點中。    

處理后獲得如下腳本：

危險性分析

Google Analytics是一項非常受歡迎的服務(wù)（根據(jù)BuiltWith數(shù)據(jù)，該服務(wù)已用于2900萬個網(wǎng)站），并受到用戶的盲目信任：管理員將* .google-analytics.com寫入Content-Security-Policy標(biāo)頭就可以允許該服務(wù)收集數(shù)據(jù)，無需從外部來源下載代碼即可實施攻擊。    

防范措施

1、不要從不受信任的來源安裝Web應(yīng)用程序和CMS組件。保持所有軟件為最新，關(guān)注有關(guān)漏洞新聞，并及時修補漏洞。

2、為所有管理帳戶創(chuàng)建強密碼。

3、將用戶權(quán)限限制到最低限度，跟蹤有權(quán)訪問服務(wù)界面的用戶數(shù)量。

4、過濾用戶輸入的數(shù)據(jù)和查詢參數(shù)防止第三方代碼注入。

5、 對于電子商務(wù)站點，建議使用兼容PCI DSS支付網(wǎng)關(guān)。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。