Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники внедряют скрипт, позволяющий атаковать другие сайты подбором логинов и паролей администратора.
Массовые брутфорс-атаки на сайты WordPress зарегистрировали специалисты Defiant Threat Intelligence. Команда экспертов забила тревогу после обнаружения более 5 млн попыток аутентификации. Нападения осуществляются с помощью ботнета, насчитывающего 20 тыс. скомпрометированных ресурсов на том же движке.
Согласно отчету исследователей, за нападениями стоит организованная группа злоумышленников. Автор публикации, Майки Венстра (Mikey Veenstra), утверждает, что кампания проводится с четырех командных центров. Чтобы затруднить обнаружение, взломщики направляют трафик почти через 15 тыс. прокси-серверов, предоставленных провайдером best-proxies[.]ru.
Армия ботнета состоит из 20 тыс. зараженных веб-ресурсов, на которых размещен вредоносный скрипт для получения доступа к целевым площадкам WordPress, — их адреса поступают с командных центров. Злоумышленники проводят атаки через протокол XML-RPC, позволяющий обходить механизм защиты CMS от атак методом перебора. Запросы с парами учетных данных отправляются через запрос system.multicall.
Как сообщают эксперты, компрометация учетных записей происходит методом перебора по словарю с поддержкой динамической генерации паролей. Например, при использовании логина username в качестве пароля могут выступать комбинации username1 или username2018. Большая часть запросов на аутентификацию приходит с мобильных приложений — wp-iphone и wp-android.
Однако организаторы кампании допустили ряд промахов. Выяснилось, что все боты получают список слов для перебора с одного скомпрометированного сайта. В случае если необходимый набор отсутствует, его загружают из источника, путь к которому находится в коде брутфорс-скрипта и содержит IP-адрес одного из командных серверов злоумышленников.
Воспользовавшись этими адресами, эксперты смогли обнаружить C&C-сервер. Как оказалось, защите своего командного центра преступники также не уделили должного внимания. При попытке неавторизованного посетителя перейти в другие разделы сайта его вновь перенаправляют на страницу ввода логина и пароля, однако при переходе пересылаются и данные ресурса, в доступе к которому было отказано.
С помощью утилиты Burp suite исследователи смогли обойти перенаправление на страницу входа и изучили панель управления ботнетом. Сайт содержал список подконтрольных ресурсов, а на командном сервере хранился файл proxy.txt с адресами и портами для пересылки пакетов по протоколу SOCKS.
Три из обнаруженных хостов были предоставлены провайдером HostSailor, известным по нападениям на сайт Брайна Кребса (Brian Krebs), а еще один — компанией Selectel. Сервера злоумышленников расположены в Нидерландах, Румынии и России.
Рост числа атак на ресурсы WordPress по протоколу XML-RPC в 2015 году фиксировали исследователи компании Sucuri. Авторы атак также использовали метод system.multicall, однако масштабы кампании были куда скромнее — в сутки регистрировалось около 60 тыс. попыток взлома.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |