Hier, 15 septembre 2020, l’équipe de Wordfence Live a couvert The Hacker Motive: Que font les attaquants avec votre site piraté. Ce billet de blog complémentaire passe en revue les motifs dont nous avons discuté en direct pendant Wordfence Live et plonge plus profondément dans l’esprit des attaquants.

Vous pouvez regarder la vidéo de Wordfence Live ci-dessous.

[youtube https://www.youtube.com/watch?v=GkL-KYnpy0w]

Horodatages

Vous pouvez cliquer sur ces horodatages pour parcourir la vidéo.

  • 00:00 introduction
  • 6:45 Fonctionnement du processus de nettoyage de site Wordfence
  • 10:45 Fonctionnement de la liste noire en temps réel de Wordfence
  • 14:06 Mises à jour sur la vulnérabilité du plugin WordPress File Manager
  • 19:16 Portes arrière
  • 27h00 Défauts
  • 35:51 Liens de spam SEO
  • 39:00 Pages de spam
  • 43:17 Piratage de mots-clés japonais
  • 44:39 Messagerie PHP
  • 47:49 Hameçonnage
  • 51:01 Redirection malveillante
  • 52:23 Botnet de commande et de contrôle
  • 54:58 Cryptominage
  • 57:15 Skimmers de carte de crédit
  • 58:57 Gagnants du butin en direct

introduction

WordPress alimente plus de 35% d’Internet, ce qui en fait l’un des systèmes de gestion de contenu les plus populaires. Cela signifie que WordPress est également l’un des systèmes les plus ciblés. Les pirates informatiques comprennent que s’ils peuvent devenir des experts dans la compromission des vulnérabilités de WordPress, ils peuvent cibler et exploiter davantage de sites. Avec des dizaines de milliers de plugins et de thèmes disponibles, la probabilité de découvrir un vecteur d’intrusion facilement exploitable installé sur de nombreux sites ajoute à l’attractivité de WordPress en tant que cible d’attaques malveillantes.

Les pirates WordPress vont des enfants de script inexpérimentés qui cherchent à se lancer aux syndicats du crime sophistiqués. Un script kiddie qui a très peu d’expérience technique peut simplement contourner des sites Web pour s’amuser et se vanter, tandis qu’un syndicat de piratage au chapeau noir peut passer plus de temps à éviter les scanners de logiciels malveillants, à développer des réseaux de commande et de contrôle complexes pour maximiser leur impact et à monétiser les sites compromis. en utilisant des liens de spam SEO et d’autres méthodes. Nous explorerons ces motifs un peu plus loin et vous fournirons des informations détaillées sur les raisons pour lesquelles les attaquants ciblent et compromettent les sites Web WordPress.

Notre espoir, ce faisant, est que ces informations vous permettront de protéger votre site, aussi petit ou insignifiant que vous puissiez le percevoir. Tout site WordPress a une valeur immense et nous espérons vous permettre de prendre des mesures pour protéger votre site contre ces types d’attaques.

Hacker Motive # 1: Installer des portes dérobées

Une porte dérobée est un morceau de code inséré quelque part sur un site, soit dans un fichier valide déjà existant comme le fichier 404 d’un thème, soit dans un fichier nouvellement généré, qui permet à un attaquant d’exécuter des commandes sur le serveur du site compromis. Une porte dérobée peut également établir un shell inversé vers le serveur pour exécuter des commandes et naviguer librement dans le système de fichiers.

Les attaquants installent souvent plusieurs portes dérobées pour maintenir la persistance sur un site compromis. Cela signifie qu’ils disposent d’un moyen facile de revoir et d’accéder à nouveau aux sites compromis. Les attaquants utilisent cet accès pour apporter des modifications à un site compromis qui profite à une campagne de monétisation, ou réinfecter les sites dans le cas où le contenu infecté n’a pas été complètement nettoyé ou si des vulnérabilités ont été corrigées alors que la porte dérobée n’est pas détectée.

Des portes dérobées peuvent également être installées par un attaquant dans l’espoir d’obtenir un accès shell à un serveur. Une fois qu’un attaquant obtient l’accès au shell, il peut potentiellement augmenter ses privilèges en exploitant les vulnérabilités au niveau du noyau pour obtenir un accès root au serveur, ce qui lui permettrait de prendre le contrôle d’autres sites hébergés sur le même serveur.

Dans des cas plus rares, des portes dérobées peuvent également être ajoutées par les développeurs pendant le processus de développement d’un site WordPress pour agir comme un crochet de maintenance ou un interrupteur d’arrêt dans le cas où le propriétaire du site cesse de payer pour la maintenance. Si un développeur que vous ne connaissez pas bien a créé quelque chose pour votre site, il est important de vérifier qu’il n’a ajouté aucune porte dérobée en effectuant une analyse des logiciels malveillants et des vulnérabilités avec un produit comme Wordfence une fois le processus de développement terminé.

Une simple webshell PHP qu’un attaquant pourrait utiliser pour exécuter des commandes sur un site Web WordPress compromis pourrait ressembler à:

Motivation du hacker n ° 2: Defacement

La dégradation se produit lorsqu’un attaquant modifie le contenu ou le visage d’un site en quelque chose d’autre généralement sans réel avantage immédiat pour lui-même. Cela peut être quelque chose d’aussi simple qu’un slogan comme “Ce site a été piraté par r0gu3 1: L33t Hax0rs” avec un fond de texte cyber vert. La plupart du temps, les attaquants dégradent les sites pour envoyer un message politique ou simplement pour se montrer. Il n’y a généralement aucun gain monétaire à dégrader un site, bien que cela puisse être destiné à embarrasser le propriétaire du site.

Il y avait un énorme campagne de défacement en février 2017, lorsqu’une vulnérabilité de l’API REST a été découverte dans les versions 4.7 à 4.7.1 de WordPress qui permettait à des attaquants non authentifiés de mettre à jour des publications arbitraires. Des centaines de milliers de sites ont été affectés par cette vulnérabilité alors que les attaquants participaient à ce qui semblait avoir été un «Concours de dégradation».

Un «Concours de défiguration» est le moment où les attaquants tenteront de dégrader autant de sites que possible pour revendiquer la victoire sur d’autres attaquants, uniquement pour se vanter.

Voici un exemple de dégradation que nous avons constatée en 2017 lors du concours de dégradation exploitant la vulnérabilité de l’API REST.

Dans certains cas, des pirates informatiques «chapeau gris», qui n’ont pas d’intention totalement malveillante, mais qui exécutent toujours des actions illégales, ont dégradé des sites censés sensibiliser les propriétaires de sites et les alerter sur le fait qu’ils ont des sites vulnérables. Bien que moins fréquents, certains attaquants s’efforcent de causer des dommages minimes au-delà de la sensibilisation du propriétaire du site que leur site est vulnérable.

Hacker Motive # 3: Injection de contenu spam / SEO

L’injection de contenu spam / SEO se produit lorsqu’un attaquant injecte du HTML contenant des liens visibles ou cachés vers des sites Web externes dans l’espoir d’améliorer le classement des moteurs de recherche de ces sites. Ceci est principalement fait pour un gain monétaire. Les attaquants peuvent être payés sur le marché noir ou sur le Web sombre pour améliorer le classement SEO du site ou ils peuvent viser à améliorer le référencement de leurs propres sites en injectant ces liens de spam dans les sites des victimes.

Les moteurs de recherche évalueront la popularité d’un site en fonction d’un certain nombre de facteurs de classement, y compris le nombre de liens entrants que le site a sur le Web dans son ensemble. Les liens entrants indiquent aux moteurs de recherche que les autres propriétaires de sites considèrent le site comme faisant autorité, et de nombreux backlinks provenant de sites de haute autorité peuvent améliorer les performances d’un site dans les pages de résultats des moteurs de recherche (SERP). Les attaquants qui cherchent à bien performer dans les SERP essaieront de placer autant de liens que possible sur des sites propres et de haute autorité dans des niches hautement compétitives et rentables. Le spam SEO est souvent utilisé pour promouvoir des sites avec lesquels les fournisseurs de publicité en ligne ne veulent pas ou ne peuvent pas travailler pour des raisons juridiques, telles que les produits pharmaceutiques, les jeux d’argent en ligne, les produits contrefaits et les sites de téléchargement illégaux.

Notre équipe des services de sécurité (SST) trouve souvent ces liens intégrés au bas des articles, des pieds de page de site ou d’autres emplacements. Parfois, ceux-ci peuvent être cachés de la vue. Quoi qu’il en soit, les liens de spam SEO peuvent ne pas être détectés pendant un certain temps si vous n’examinez pas activement les pages de votre site ou si vous n’effectuez pas d’analyse de logiciels malveillants sur votre site WordPress.

Exemple de publication WordPress contenant un lien de spam.

Hacker Motive # 4: Création d’une page de spam

Semblables aux liens de spam, les pages de spam tentent de dynamiser un site dans un créneau hautement compétitif et rentable plus haut dans les pages de résultats des moteurs de recherche. Contrairement aux liens de spam, cependant, ces attaques consistent en plusieurs pages HTML contenant du contenu de spam injecté dans un site compromis. Cela peut également impliquer la création de pages de spam dans WordPress lui-même.

Les sites qui ont des noms de domaine plus anciens ont des facteurs de classement d’autorité plus élevés sur les moteurs de recherche et sont une cible plus souhaitable pour les attaquants car l’autorité de domaine est également transférée vers les pages de spam créées par l’attaquant.

Le motif des attaquants dans ce scénario est la monétisation. Les pages de spam qu’ils créent contiennent souvent des liens d’affiliation dans l’espoir que l’attaquant puisse générer des ventes aux entreprises et gagner de l’argent grâce aux revenus d’affiliation générés par les pages de spam. Ces pages de spam peuvent également rediriger les utilisateurs du site vers un autre site vendant des produits, là encore comme moyen de monétiser le site compromis.

Un piratage courant de création de page de spam que nous voyons souvent est le piratage du «mot clé japonais». Cela implique généralement la création d’un dossier avec plusieurs pages HTML contenant du spam japonais avec des liens d’affiliation pour vendre des marchandises. Ces pages sont assez souvent indexées par Google et cela peut devenir si grave que les résultats de recherche pour un site infecté n’afficheront que les pages de mots-clés japonais dans les résultats de recherche.

Un exemple de résultats de recherche sur un site affichant des mots clés japonais. Source de l’image: https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Hacker Motive # 5: Création de PHP Mailer

Un script de messagerie PHP envoie des e-mails sur un serveur via du code PHP. Les attaquants utiliseront souvent ces scripts sur un site compromis pour exploiter les fonctions de mailing du serveur et envoyer des messages de spam indésirables. Le spam fait généralement référence à des e-mails non sollicités conçus pour attirer votre attention et essayer de vous amener à acheter un produit. Le spam peut également être constitué d’e-mails conçus pour vous inciter à exécuter des actions telles que la saisie de votre mot de passe, ce qui serait considéré comme du phishing, ou pour lancer d’autres escroqueries courantes.

Le spam est aussi ancien que le courrier électronique lui-même, et il est toujours incroyablement rentable, même avec les filtres de messagerie avancés actuels.

Pourquoi les attaquants compromettent-ils les sites WordPress pour envoyer du spam?

C’est simple. Vous avez un site réputé et légitime, donc l’envoi de spams à partir de votre site est une cible attrayante car il faudra plus de temps pour qu’un attaquant soit détecté et arrêté. En utilisant le service de messagerie de votre site comme source de courrier électronique, un attaquant est susceptible de contourner de nombreux filtres de courrier électronique et ses messages de spam seront envoyés avec succès à davantage de cibles. Votre site fournit également des ressources de messagerie gratuites permettant à l’attaquant d’exploiter et d’envoyer ses messages de spam pour gagner de l’argent, et quel que soit le trafic que votre site reçoit, un attaquant peut utiliser vos ressources d’hébergement et de messagerie à leur avantage. Encore une fois, le motif ici est de gagner de l’argent et de ne pas être détecté le plus longtemps possible.

Les fournisseurs d’hébergement sont fortement incités à arrêter les expéditeurs malveillants qui envoient du spam afin de protéger leurs adresses IP contre la liste noire. Cela signifie que la première indication d’une infection PHP mailer est souvent que votre site est fermé. Votre site peut également se retrouver sur une liste noire si vous ne surveillez pas et ne scannez pas activement votre site à la recherche de logiciels malveillants et d’indicateurs de compromission.

Hacker Motive # 6: Campagnes de phishing

Le phishing consiste à utiliser des e-mails d’apparence légitime pour essayer de tromper un utilisateur afin qu’il effectue une sorte d’action, comme se connecter à un faux site bancaire en ligne. Les sites WordPress compromis peuvent être utilisés comme source d’e-mails de phishing envoyés, et ils peuvent héberger des pages de phishing se faisant passer pour un site différent afin de collecter des informations sensibles.

Notre équipe des services de sécurité a vu de nombreux cas où des sites WordPress ont été compromis, puis un kit de phishing a été installé. Un kit de phishing est essentiellement un ensemble de fichiers utilisé pour créer une page Web ressemblant à un site légitime tel que Google Drive ou un site bancaire en ligne. Dans ces cas, votre site agirait en tant qu’hôte gratuit pour les attaquants malveillants hébergeant une page de phishing pour récolter les détails de l’utilisateur.

Des liens vers ces pages Web sont ensuite fournis dans des e-mails de phishing, qui sont des e-mails qui semblent provenir d’une source légitime. L’attaquant espère que les utilisateurs cliqueront sur le lien dans l’e-mail et fourniront leurs informations d’identification, ou d’autres informations sensibles, sur la page de phishing.

Voici un exemple de page de phishing destinée à récolter Identifiants Google dont nous avons fait état en 2017. Cela semble très proche de la zone de connexion Google normale que vous voyez généralement lorsque vous vous connectez, n’est-ce pas?

Page de connexion de phishing de l'URI de données GMail

La grande majorité du temps, les campagnes de phishing sont utilisées pour cibler les informations d’identification des utilisateurs pour des services tels que des sites bancaires ou des actifs d’entreprise dans l’espoir de voler des données de ces comptes pour les vendre sur le Web sombre. Encore une fois, les campagnes de phishing sont principalement conçues comme un moyen de monétiser, que ce soit directement ou indirectement en collectant et en vendant les informations d’identification des utilisateurs.

Assurez-vous de ne jamais fournir d’informations d’identification ou d’informations sensibles après avoir cliqué sur un lien dans un e-mail. Si vous recevez ce qui semble être un avis de Wells Fargo ou de WordPress par exemple, assurez-vous de visiter ce site directement pour vous connecter et afficher les avis. Examinez attentivement le contenu de tout e-mail, y compris les liens qu’il contient, et supposez que tout lien est malveillant.

Hacker Motive # 7: Redirections malveillantes

Les redirections malveillantes sont utilisées pour rediriger les utilisateurs légitimes du site vers un autre site, généralement dans l’espoir d’infecter l’ordinateur de la victime via un téléchargement malveillant. Les attaquants aiment installer des logiciels malveillants sur les ordinateurs des utilisateurs pour une multitude de raisons, mais cela découle presque toujours d’un seul motif: la monétisation.

Les attaquants choisiront également parfois de rediriger les utilisateurs du site vers un site de spam dans l’espoir de vendre des produits pour, encore une fois, essayer de monétiser.

Les redirections malveillantes sont généralement le résultat d’une vulnérabilité de script intersite ou d’une vulnérabilité de changement d’option arbitraire. Le meilleur moyen de protéger votre site contre l’exploitation de ces vulnérabilités serait de garder vos thèmes, plugins et core à jour et d’exécuter un pare-feu d’application Web pour aider à protéger votre site pendant les périodes intermédiaires lorsqu’une vulnérabilité a été découverte mais que votre Le site n’a pas encore été mis à jour pour corriger le code vulnérable. En tant que visiteur du site, la meilleure façon de vous protéger contre les redirections malveillantes consiste à utiliser un logiciel antivirus sur les appareils que vous utilisez pour parcourir les sites Web.

Un exemple de JavaScript qu’un attaquant pourrait injecter via une attaque XSS pour rediriger les visiteurs de votre site vers un site malveillant pourrait ressembler à ceci:

  

Hacker Motive # 8: Serveur de commande et de contrôle avec un botnet

Un botnet est un groupe d’hôtes déjà compromis, appelés «zombies», généralement utilisés par un attaquant pour tenter d’infecter des hôtes supplémentaires ou exécuter une attaque DDoS. Le serveur Command and Control, ou C2, est ce que les attaquants utilisent pour contrôler les hôtes compromis et les diriger vers de nombreuses actions différentes. C’est un motif pour lequel les attaquants ne se soucient pas nécessairement de la visibilité ou du trafic vers votre site, mais cherchent plutôt à utiliser les ressources d’hébergement de votre site.

De retour en décembre 2018, nous avons suivi une campagne massive de force brute qui a utilisé un botnet créé par un attaquant pour essayer d’accéder à plus de sites WordPress. Essentiellement, un attaquant a créé un serveur de commande et de contrôle utilisé pour contrôler les nombreux sites WordPress «zombies» infectés et force brutalement d’autres sites WordPress en utilisant les ressources des sites WordPress déjà compromis.

Le motif derrière les botnets de commande et de contrôle est également la monétisation par l’exploitation des vulnérabilités et de le faire rapidement à grande échelle. Ces exploitations sont souvent beaucoup plus sophistiquées et nécessitent l’utilisation de portes dérobées sur les systèmes affectés pour maintenir la persistance et exécuter les commandes initiées par les serveurs de contrôle. Une fois qu’un attaquant a le contrôle d’un botnet, il peut utiliser l’une des autres méthodes de monétisation répertoriées, ou le louer ou le vendre directement.

Hacker Motive # 9: Cryptomining

Les infections de cryptomining se produisent lorsque des attaquants infectent des sites avec des cryptominers, qui sont utilisés pour gagner de la crypto-monnaie, qui est une forme numérique de monnaie utilisant une blockchain. Les crypto-monnaies tirent parti de la technologie de la blockchain pour gagner en décentralisation, en transparence et en immuabilité. Il s’agit d’un autre scénario dans lequel la motivation de l’attaquant n’exige pas que votre site soit visible ou populaire, mais plutôt que les ressources d’hébergement (ou les visiteurs) du site soient exploitées pour apporter un gain monétaire à l’attaquant.

Nous avons vu des campagnes massives dans le passé, où un attaquant a utilisé toutes les ressources d’un serveur pour extraire de la crypto-monnaie. Cela peut avoir un impact significatif sur votre site car cela peut entraîner la mise hors ligne de votre site, entraînant une perte de disponibilité. De plus, les cryptomineurs basés sur JavaScript ont également été utilisés pour générer de la crypto-monnaie à l’aide des navigateurs des visiteurs du site dans le passé, bien qu’ils soient beaucoup moins courants qu’il y a quelques années.

Conclusion

Afin de vous protéger des hackers, vous devez penser comme un hacker. En comprenant mieux les motivations des pirates pour compromettre les sites Web vulnérables, vous êtes mieux équipé pour diagnostiquer les systèmes affectés en cas de compromis et pour protéger votre site WordPress contre les tentatives d’un attaquant d’exploiter du code vulnérable.

Nous espérons que nous vous avons aidé à mieux comprendre certains des motifs courants des pirates informatiques et pourquoi ils pourraient cibler votre site WordPress, afin que vous puissiez prendre les mesures de précaution dont vous avez besoin pour rester en sécurité, notamment en protégeant votre site avec Wordfence Premium.

Si vous avez des amis ou des collègues utilisant WordPress, partagez cet article avec eux. Plus nous rendons toute la communauté WordPress en sécurité en découvrant les motivations des pirates, plus nous sommes tous en sécurité contre les pirates cherchant à compromettre les sites WordPress.

La poste Le motif du pirate informatique: ce que font les attaquants avec votre site piraté est apparu en premier le Wordfence.


Source link