Tłumaczenie maszynowe

Wczoraj, 15 września 2020 r., Zespół Wordfence Live omówił motywy hakera: co atakujący robią z zaatakowaną witryną. Ten towarzyszący wpis na blogu zawiera przegląd motywów, które omawialiśmy na żywo podczas Wordfence Live i zagłębia się w umysły atakujących.

Możesz obejrzeć wideo Wordfence Live poniżej.

Sygnatury czasowe

Możesz kliknąć te sygnatury czasowe, aby przeskoczyć do wybranego fragmentu.

Wprowadzenie

WordPress obsługuje ponad 35% internetu, co czyni go jednym z najpopularniejszych systemów zarządzania treścią. Oznacza to, że WordPress jest również jednym z najbardziej ukierunkowanych systemów. Hakerzy rozumieją, że jeśli staną się ekspertami w dziedzinie łamania luk w zabezpieczeniach WordPressa, mogą atakować i wykorzystywać więcej witryn. Przy dziesiątkach tysięcy dostępnych wtyczek i motywów prawdopodobieństwo wykrycia łatwego do wykorzystania wektora zainstalowanego w wielu witrynach zwiększa atrakcyjność WordPressa jako celu złośliwych ataków.

Hakerzy WordPress to zarówno niedoświadczone dzieciaki od skryptów, jak i wyrafinowane syndykaty przestępcze. Skrypciarz, który ma bardzo małe doświadczenie techniczne, może po prostu zepsuć strony internetowe dla zabawy i chwalenia się, podczas gdy syndykat black hat może spędzać więcej czasu omijając skanery złośliwego oprogramowania, tworząc złożone sieci zarządzania i kontroli, aby zmaksymalizować wpływ i zarabiać na zainfekowanych witrynach poprzez używanie spamerskich linków SEO i innych metod. Zbadamy te motywy nieco dokładniej i przedstawimy Ci dogłębny wgląd w to, dlaczego atakujący atakują i naruszają witryny WordPress.

Mamy nadzieję, że uda nam się to uczynić i że te informacje umożliwią Ci ochronę Twojej witryny, bez względu na to, jak mała lub nieistotna może być. Każda witryna WordPress ma ogromną wartość i mamy nadzieję, że umożliwimy Ci podjęcie kroków w celu ochrony Twojej pracy i marki przed tego typu atakami.

Motyw hakera nr 1: Instalowanie backdoorów

Backdoor to fragment kodu wstawiony gdzieś w witrynie, albo w już istniejącym, prawidłowym pliku, takim jak plik 404 motywu, albo w nowo wygenerowanym pliku, który zapewnia atakującemu możliwość wykonywania poleceń na serwerze zaatakowanej witryny. Backdoor może również stanowić powłokę serwera w celu wykonywania poleceń i swobodnego poruszania się po systemie plików.

Atakujący często instalują wiele backdoorów, aby utrzymać kontrolę zaatakowanej witryny. Oznacza to, że mają otwarty dostęp w każdej chwili i gdy tylko zechcą mogą odzyskać dostęp do zaatakowanych witryn. Atakujący wykorzystują ten dostęp do wprowadzania zmian w witrynie, co jest korzystne dla kampanii generującej przychody. Mogą ten dostęp wykorzystać do ponownego zainfekowania witryn w przypadku jej niepełnego oczyszczenia lub załatania luk w zabezpieczeniach, podczas gdy backdoor pozostał po tych czynnościach niewykryty.

Atakujący może również zainstalować backdoory w nadziei uzyskania dostępu do powłoki serwera. Gdy osoba atakująca uzyska dostęp do powłoki, może potencjalnie zwiększyć swoje uprawnienia, wykorzystując luki na poziomie jądra w celu uzyskania dostępu administratora serwera, co pozwoliłoby przejąć także inne witryny hostowane na tym samym serwerze.

W rzadszych przypadkach, backdoory mogą być również dodawane przez programistów podczas procesu tworzenia witryny WordPress, aby działać jako hak konserwacyjny lub wyłącznik awaryjny w przypadku, gdy właściciel witryny przestanie np. płacić za opiekę lub licencję. Jeśli programista, którego nie znasz dobrze, stworzył coś dla Twojej witryny, ważne jest, aby sprawdzić, czy nie dodał żadnych backdoorów, wykonując skanowanie złośliwego oprogramowania i luk w zabezpieczeniach za pomocą produktu takiego jak Wordfence po zakończeniu procesu budowy strony.

Prosta powłoka internetowa PHP, której osoba atakująca może użyć do wykonywania poleceń w zaatakowanej witrynie WordPress, może wyglądać następująco:

<?php echo shell_exec($_GET['cmd']); ?>

Motyw hakera nr 2: Zniesławienie

Ma miejsce, gdy osoba atakująca zmienia zawartość lub wygląd witryny na coś innego, zazwyczaj bez natychmiastowej korzyści dla siebie. Może to być coś tak prostego, jak slogan, np. „Ta witryna została zhakowana przez r0gu3 1: L33t Hax0rs”. W większości przypadków osoby atakujące niszczą witryny, aby wysłać polityczne przesłanie lub po prostu się pochwalić. Zazwyczaj zniesławienie witryny nie przynosi żadnych korzyści finansowych, chociaż może to mieć na celu obniżenie reputacji jej właściciela.

W lutym 2017 r. Miała miejsce masowa kampania niszcząca, kiedy odkryto lukę w zabezpieczeniach REST API w wersjach 4.7 – 4.7.1 WordPressa, która umożliwiła nieuwierzytelnionym atakującym modyfikację dowolnych postów. Setki tysięcy witryn zostało dotkniętych tą luką, podczas gdy osoby atakujące rywalizowały ze sobą w czymś, co wyglądało na „Konkurs na zniszczenie”.

„Konkurs zniesławienia” ma miejsce, gdy atakujący będą próbowali zniszczyć jak najwięcej witryn, aby odnieść zwycięstwo nad innymi napastnikami, wyłącznie po to, by się przechwalać. Taki rodzaj gry.

Poniżej znajduje się przykład uszkodzenia, które widzieliśmy w 2017 roku podczas konkursu na atak wykorzystujący lukę w zabezpieczeniach REST API.

Zdarzały się przypadki, w których hakerzy „gray hat”, którzy nie mają w pełni złośliwych zamiarów, ale nadal wykonują nielegalne działania, niszczyli witryny rzekomo w celu podniesienia świadomości właścicieli tychże witryn i ostrzeżenia ich o tym, że mają witryny podatne na ataki. Chociaż jest to mniej powszechne, niektórzy atakujący starają się spowodować minimalne szkody, poza uświadomieniem właścicielowi witryny, że strona jest podatna na ataki.

Motyw hakera nr 3: spam / wstrzykiwanie treści SEO

Do iniekcji spamu / SEO dochodzi, gdy osoba atakująca wstrzykuje kod HTML zawierający widoczne lub ukryte linki do zewnętrznych witryn internetowych w nadziei na poprawę pozycji tych witryn w wyszukiwarkach. Odbywa się to głównie dla zysków pieniężnych. Atakujący mogą otrzymywać zapłatę na czarnym rynku w celu poprawy rankingów SEO witryn lub mogą dążyć do poprawy SEO własnych witryn, umieszczając linki spamowe na witrynach swoich ofiar.

Wyszukiwarki będą oceniać popularność witryny na podstawie szeregu czynników rankingowych, w tym liczby linków przychodzących, które witryna ma w całej sieci. Linki przychodzące informują wyszukiwarki, że inni właściciele witryn uważają witrynę za autorytatywną, a liczne linki zwrotne z witryn o wysokim autorytecie mogą zwiększyć wyniki witryny na stronach wyników wyszukiwania (SERP). Atakujący, którzy chcą osiągnąć dobre wyniki w SERPach, będą próbowali umieścić jak najwięcej linków w dobrych witrynach o wysokim autorytecie, w wysoce konkurencyjnych i dochodowych niszach. Spam SEO jest często używany do promowania witryn, z którymi dostawcy reklam internetowych nie chcą lub nie mogą współpracować z powodów prawnych, takich jak witryny farmaceutyczne, hazard internetowy, podrabiane towary i nielegalne pliki do pobrania.

Nasz zespół ds. Usług bezpieczeństwa (SST) często znajduje te łącza osadzone na dole postów, stopek witryn lub innych lokalizacji. Czasami można je ukryć. Tak czy inaczej, linki spamowe SEO mogą pozostać niewykryte przez dłuższy czas, jeśli nie badasz aktywnie stron swojej witryny lub nie skanujesz złośliwego oprogramowania w witrynie WordPress.

Przykład postu WordPress zawierającego link do spamu.

Motyw hakera nr 4: Tworzenie stron ze spamem

Podobnie jak w przypadku odsyłaczy spamerskich, strony ze spamem próbują wykorzystać witrynę w wysoce konkurencyjnej i dochodowej niszy, znajdującej się wyżej na stronach wyników wyszukiwania. Jednak w przeciwieństwie do odsyłaczy spamerskich, ataki te obejmują wiele stron HTML zawierających treść o charakterze spamu umieszczoną w zaatakowanej witrynie (domenie).

Witryny ze starszymi nazwami domen mają wyższy ranking jak chodzi o autorytet w wyszukiwarkach i są bardziej pożądanym celem dla atakujących, ponieważ autorytet domeny jest również przenoszony na podstrony zawierające spam utworzone przez atakującego.

Motywem atakujących w tym scenariuszu jest zarabianie. Tworzone przez nich strony spamowe często zawierają linki partnerskie w nadziei, że osoba atakująca może zwiększyć sprzedaż firmy i zarabiać na dochodach afiliacyjnych generowanych przez strony spamowe. Te strony ze spamem mogą również przekierowywać użytkowników witryny do alternatywnej witryny sprzedającej produkty, ponownie w celu zarabiania na takiej stronie.

Jednym z częstych hacków do tworzenia stron ze spamem, który często widzimy, jest hack „japońskie słowo kluczowe”. Zwykle wiąże się to z utworzeniem folderu z kilkoma stronami HTML zawierającymi japoński spam z linkami partnerskimi do sprzedaży towarów. Te strony są dość często indeksowane przez Google i może stać się tak poważny, że wyniki wyszukiwania zainfekowanej witryny pokazują tylko japońskie strony ze słowami kluczowymi w wynikach wyszukiwania.

Przykład wyników wyszukiwania w witrynie z japońskimi słowami kluczowymi. Źródło obrazu: https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Motyw hakera nr 5: Wykorzystanie poczty PHP

Skrypt pocztowy PHP wysyła wiadomości e-mail na serwer za pośrednictwem kodu PHP. Atakujący często używają skryptów na zaatakowanej witrynie, aby wykorzystać funkcje pocztowe serwera i wysyłać niechciane wiadomości spamowe. Spam zwykle odnosi się do niechcianych wiadomości e-mail, których celem jest zwrócenie uwagi użytkownika na próbę zakupu produktu. Spam może również składać się z wiadomości e-mail, których celem jest nakłonienie użytkownika do wykonania czynności, takich jak wprowadzenie hasła, co mogłoby zostać uznane za wyłudzanie informacji lub w celu zainicjowania innych typowych oszustw.

Spam jest tak stary jak sama poczta e-mail i nadal jest niezwykle opłacalny, nawet przy dzisiejszych zaawansowanych filtrach poczty e-mail.

Dlaczego osoby atakują witryny WordPress w celu wysyłania spamu?
To proste. Masz renomowaną i legalną witrynę, więc wysyłanie wiadomości spamowych z Twojej witryny jest atrakcyjnym celem, ponieważ wykrycie i wyłączenie atakującego zajmie więcej czasu. Korzystając z usługi poczty e-mail w Twojej witrynie jako źródła poczty e-mail, osoba atakująca prawdopodobnie ominie wiele filtrów poczty e-mail, a jej wiadomości spamowe zostaną pomyślnie dostarczone do większej liczby odbiorców. Twoja witryna udostępnia również bezpłatne zasoby pocztowe dla atakującego do wykorzystania i wysyłania spamu w celu zarabiania pieniędzy, a niezależnie od ruchu, jaki otrzymuje Twoja witryna, osoba atakująca może wykorzystać Twoje zasoby hostingowe i pocztowe na swoją korzyść. Ponownie, motywem jest zarabianie pieniędzy i pozostanie niewykrytym tak długo, jak to możliwe.

Dostawcy usług hostingowych mają silną motywację do zamykania maili wysyłających spam w celu ochrony ich adresów IP przed umieszczeniem na czarnej liście. Oznacza to, że często pierwszą oznaką infekcji jest zablokowanie witryny. Twoja witryna może również znaleźć się na czarnej liście, jeśli nie monitorujesz jej aktywnie i nie skanujesz w poszukiwaniu złośliwego oprogramowania i wskaźników włamań.

Motyw hakera nr 6: Kampanie phishingowe

Phishing polega na wykorzystywaniu wyglądających na wiarygodne wiadomości e-mail, aby nakłonić użytkownika do wykonania jakiejś czynności, takiej jak zalogowanie się do fałszywej witryny bankowości internetowej. Zaatakowane witryny WordPress mogą służyć jako źródło wysyłanych e-maili phishingowych i mogą udostępniać strony phishingowe udające inną witrynę w celu gromadzenia poufnych informacji.

Nasz zespół ds. Usług bezpieczeństwa widział wiele przypadków, w których witryny WordPress zostały przejęte, a następnie zainstalowano na nich zestaw phishingowy. Zestaw do wyłudzania informacji, to zasadniczo zbiór plików używanych do tworzenia strony internetowej przypominającej legalną witrynę, taką jak Dysk Google lub witryna bankowości internetowej. W takich przypadkach Twoja witryna działałaby jako darmowy host dla hakerów udostępniających stronę phishingową, aby zebrać dane użytkowników.

Linki do tych stron internetowych są następnie podawane w phishingowych wiadomościach e-mail, które wyglądają na pochodzące z legalnego źródła. Atakujący ma nadzieję, że użytkownicy klikną odsyłacz w wiadomości e-mail i podadzą swoje poświadczenia lub inne poufne informacje na stronie phishingowej.

Oto przykład strony phishingowej, która ma na celu zebranie danych logowania Google, o których pisaliśmy w 2017 r. Wygląda bardzo podobnie do normalnego obszaru logowania Google, który zwykle widzisz, prawda?

Strona logowania do phishingu opartego na identyfikatorze URI danych Gmaila

W przeważającej większości przypadków kampanie phishingowe są wykorzystywane do kierowania danych uwierzytelniających użytkowników do usług takich jak witryny bankowe lub aktywa korporacyjne w nadziei na kradzież danych w celu sprzedaży na czarnym rynku. Ponownie, kampanie phishingowe są głównie tworzone w celu zarabiania, czy to bezpośrednio, czy pośrednio, poprzez zbieranie i sprzedaż danych uwierzytelniających użytkowników.

Nigdy nie podawaj poświadczeń ani poufnych informacji po kliknięciu łącza w wiadomości e-mail. Jeśli otrzymasz coś, co wygląda na powiadomienie, na przykład od Wells Fargo lub WordPress, odwiedź tę witrynę bezpośrednio, aby się zalogować i wyświetlić wszelkie powiadomienia. Dokładnie sprawdź zawartość każdej wiadomości e-mail, w tym zawarte w niej łącza, i załóż, że każdy odsyłacz jest złośliwy.

Motyw hakera nr 7: Złośliwe przekierowania

Złośliwe przekierowania są wykorzystywane do przekierowywania użytkowników witryny na inną witrynę, zwykle w nadziei na zainfekowanie komputera ofiary poprzez złośliwe pobranie. Atakujący lubią instalować złośliwe oprogramowanie na komputerach użytkowników z wielu powodów, ale prawie zawsze ma to jeden motyw: zarabianie.

Atakujący czasami decydują się również na przekierowanie użytkowników witryny do witryny ze spamem w nadziei, że ponownie spróbują sprzedać produkty i zarobić.

Złośliwe przekierowania są zwykle wynikiem luki w zabezpieczeniach skryptów lub luki umożliwiającej zmianę dowolnej opcji. Najlepszym sposobem ochrony witryny przed wykorzystaniem tych luk w zabezpieczeniach byłoby aktualizowanie motywów, wtyczek i rdzenia oraz uruchamianie zapory sieciowej w celu ochrony witryny w okresach przejściowych, kiedy wykryto lukę, ale witryna nie została jeszcze zaktualizowana w celu załatania kodu zawierającego lukę. Jako osoba odwiedzająca witrynę, najlepszym sposobem ochrony siebie przed złośliwymi przekierowaniami jest używanie oprogramowania antywirusowego na urządzeniach używanych do przeglądania witryn internetowych.

Przykład kodu JavaScript, który osoba atakująca może wprowadzić za pomocą ataku XSS w celu przekierowania odwiedzających witrynę do złośliwej strony, może wyglądać następująco:

<script type="text/javascript"> window.location.replace("https://wordfence.com");</script>

Motyw hakera nr 8: Kontrola serwera botnetem

Botnet to grupa już zainfekowanych hostów, zwanych „zombie”, zwykle wykorzystywanych przez atakującego do próby zainfekowania dodatkowych hostów lub wykonania ataku DDoS. Atakujący używają serwera Command and Control lub C2 do kontrolowania zainfekowanych hostów i kierowania ich do wykonywania wielu różnych działań. Jest to motyw, w którym osoby atakujące niekoniecznie dbają o widoczność lub ruch w Twojej witrynie, ale raczej chcą wykorzystać jej zasoby hostingowe.

W grudniu 2018 r. Śledziliśmy ogromną kampanię brute-force, w której wykorzystano botnet stworzony przez atakującego, aby uzyskać dostęp do większej liczby witryn WordPress. Zasadniczo osoba atakująca stworzyła serwer dowodzenia i kontroli używany do kontrolowania wielu zainfekowanych witryn WordPress typu „zombie” oraz brute-force wykorzystując zasoby już zainfekowanych witryn WordPress.

Motywacją do operowania botnetami zarządzającymi i kontrolującymi jest również monetyzacja poprzez wykorzystywanie luk w zabezpieczeniach i robienie tego szybko na dużą skalę. Eksploity te są często znacznie bardziej wyrafinowane i wymagają użycia backdoorów w systemach, których dotyczy luka, w celu zachowania trwałości i wykonywania poleceń inicjowanych przez serwery sterujące. Gdy atakujący przejmie kontrolę nad botnetem, może użyć dowolnej z wymienionych metod zarabiania, wydzierżawić lub sprzedać go bezpośrednio.

Motyw hakera nr 9: Wykopywanie kryptowalut

Infekcje wydobywające kryptowaluty mają miejsce, gdy atakujący infekują strony kryptowalutami, które są wykorzystywane do zarabiania kryptowaluty, która jak pewnie wiesz jest cyfrową formą waluty wykorzystującą łańcuch bloków. Kryptowaluty wykorzystują technologię blockchain, aby uzyskać decentralizację, przejrzystość i niezmienność. Jest to kolejny scenariusz, w którym motyw atakującego nie wymaga, aby Twoja witryna była widoczna lub popularna, ale zasoby hostingu witryny (lub odwiedzających) są wykorzystywane do zapewnienia napastnikowi korzyści pieniężnych.

W przeszłości widzieliśmy masowe kampanie, w których osoba atakująca wykorzystywała wszystkie zasoby serwera do poszukiwania kryptowaluty. Może to mieć znaczący wpływ na Twoją witrynę, ponieważ może spowodować jej przełączenie do trybu offline, co spowoduje utratę dostępności. Ponadto kryptowaluty oparte na JavaScript były również używane do generowania kryptowalut za pomocą przeglądarek odwiedzających witrynę, chociaż dziś są one znacznie mniej powszechne niż kilka lat temu.

Wniosek

Aby chronić się przed hakerami, musisz myśleć jak haker. Dzięki lepszemu zrozumieniu motywów hakerów jesteś lepiej przygotowany zarówno do diagnozowania systemów, których dotyczy luka, jak i do ochrony witryny WordPress przed próbami wykorzystania podatnego kodu.

Mamy nadzieję, że pomogliśmy Ci lepiej zrozumieć niektóre z typowych motywów hakerów i dlaczego mogą atakować Twoją witrynę WordPress, dzięki czemu możesz podjąć kroki zapobiegawcze potrzebne do zachowania bezpieczeństwa, w tym ochronę witryny za pomocą Wordfence Premium .

Jeśli masz znajomych lub współpracowników korzystających z WordPressa, udostępnij im ten wpis. Im bezpieczniejszą uczynimy całą społeczność WordPress, poznając motywy hakerów, tym bezpieczniejsi jesteśmy my wszyscy.

Tłumaczenie maszynowe, źródło: Wordfence

Podobne