1. Законныя сайты ўзламаны і набіраюцца ў спам-сетку Падчас перыядычнага аналізу трафіку Cato Cloud...
2. Як адбываецца першапачатковае паглынанне сайта
3. рэзюмэ
4. Ронен Атиас

Законныя сайты ўзламаны і набіраюцца ў спам-сетку

Падчас перыядычнага аналізу трафіку Cato Cloud у навукова-даследчай лабараторыі Cato мы заўважылі, што наша сістэма аналітыкі бяспекі была выклікана запытам у службу сумеснага выкарыстання кода Pastebin. Запыт быў зыходзіць з дашкольнага сайта ў Сінгапуры (мал. 1) .

Pastebin - папулярны сэрвіс для захоўвання і абмену кодамі. "Уставіць" у уліковым запісе Pastebin ставіцца да фрагмента кода, які можна дынамічна выбіраць і размяшчаць у пэўным кантэксце, напрыклад, на вэб-старонцы. Хоць паслуга выкарыстоўваецца ў законных мэтах, яна таксама можа быць выкарыстана для ўключэння шкоднасных дзеянняў у Інтэрнэце.

Малюнак 1 - Здымак экрана сайта

Аналіз зыходнага кода сайта прывёў да тэга сцэнара, які быў крыніцай падазронага запыту. Пасля аналізу іншых частак кода мы заўважылі некалькі схаваных спасылак, якія спасылаюцца на сайты продажаў абутку. Відавочна, што не мае дачынення да дашкольнага сайта. (Малюнак 2) .

Малюнак 2 - Падазроны фрагмент кода

Спасылкі размяшчаюцца ў схаванай частцы старонкі, якая перакрывае адзін з загалоўкаў, таму любы, хто націскае на загаловак, невядома спасылаецца на адзін з гэтых сайтаў. Гэта добра вядомая тэхніка пад назвай "clickjacking", якая выкарыстоўваецца ў розных шкоднасных мэтах, такіх як збор сімвалаў на Facebook.

Пікшы цікавасць, мы прагледзелі спасылку ў Пастебіне. Мы бачым, што ў ім утрымліваецца частка Javascript, якая выконваецца кожны раз, калі вэб-браўзэр трапляе на заражаную старонку, загружае іншы код Javascript, які размешчаны на сэрвэры зламысніка. Гэта дазваляе зламысніку выкарыстоўваць законную службу Pastebin у якасці шлюза да шкоднаснага кода (мал. 3) . З моманту свайго размяшчэння ў пасты было больш за 500 тыс. Праглядаў, і падчас расследавання праглядаў павялічвалася з хуткасцю 10K (мал. 4) .

Цікава, што на дадзены момант сцэнар спасылаецца на HTML-старонку, а не на код Javascript. У спасылцы HTML утрымліваецца некалькі сцэнарыяў, прызначаных для стварэння адбіткаў пальцаў прылад для карыстальнікаў, якія выходзяць на сайт. Гэты метад часта выкарыстоўваецца для падтрымкі арыентацыі на рэкламу карыстальнікаў без выкарыстання кукі-файлаў, якія адключаны або не дапускаюцца ў розных рэгіёнах.

Малюнак 3 - Шкоднасная паста, якая змяшчае Javascript

Калі мы выкапалі крыху больш на канкрэтным рахунку Pastebin, мы ўбачылі дадатковыя пасты, якія сведчаць пра шкодныя намеры гэтага акцёра.

Малюнак 4 - Больш за 500K трапляе ў гэтую пасту

На наступным малюнку паказана адна з паст, якая змяшчае PHP backdoor (мал. 5) . Backdoor - гэта кавалак кода, які змяшчаецца на сайце і дае зламысніку магчымасць кантраляваць вэб-сервер узламанага сайта. Гэты просты, але эфектыўны, бэкдор выконвае PHP-код, які зламыснік можа адпраўляць з дапамогай запытаў HTTP POST.

Малюнак 5 - PHP backdoor paste

Спам-сетка ў дзеянні

Мы выявілі тысячы заражаных старонак, усе яны размяшчаюцца на законных сайтах, якія змяшчаюць спасылкі на адну і тую ж рознічную рознічную сетку сайтаў. Кожная старонка спаму змяшчае сцэнар, які перанакіроўвае карыстальнікаў на сайт рознічнага гандлю, які кіруецца спамерамі. Перанакіраванне адбываецца толькі ў тым выпадку, калі карыстальнік перайшоў на гэтую старонку з асноўнай пошукавай сістэмы: Google, Bing, Yahoo або AOL (мал. 6,7) . Гэта звычайны метад SEO, які выкарыстоўваецца для "Blackhat", які ілжыва павялічваў рэйтынг старонкі.

Сцэнар размяшчаецца ў некалькіх паддоменах, у тым ліку "google.jj4.co" і "gogle.jj4.co", і імя сцэнара таксама змяняецца.

Малюнак 6 - ін'екцыя сцэнара Малюнак 7 - змесціва ўведзенага сцэнара

На момант публікацыі мы не маглі пацвердзіць, калі набытыя тавары фактычна пастаўляюцца. Відавочна, што любы, хто выкарыстоўвае такія метады для набыцця трафіку, не з'яўляецца надзейным гандляром.

Як адбываецца першапачатковае паглынанне сайта

Пошук дамена C&C у пасты з мал. 3 прывёў нас да сцэнара, які выкарыстоўваўся для нападаў на сайты. Сцэнар прызначаны для выкарыстання ў WordPress уразлівасцяў, якія выкарыстоўваюцца ў межсайтовых сцэнарах (XSS), для таго, каб узяць на сябе сайт і змясціць спасылкі на URL для прадуктаў і крам, якія мы бачылі раней.

Па-першае, сцэнарыяў нападаў дадаюць просты бэкдор PHP да аднаго з усталяваных убудоў WordPress - дакладнага кода PHP, які з'яўляецца ў адной з паст. Пазней сцэнар паведамляе аб дамене і шляху ўзламанага плягіну.

Малюнак 6 - Сцэнар нападу, які паказвае URL C&C Малюнак 7 - Сцэнар нападу

Нарэшце, сцэнар спрабуе дадаць карыстальніка з адміністрацыйнымі прывілеямі ў WordPress (мал. 8) .

Малюнак 8 - Сцэнар нападу

рэзюмэ

Тут важна выкарыстоўваць Pastebin у кантэксце спам-сеткі, таму што зламыснік можа хутка замяніць дамен сервера і кіравання (C&C) у пасты і паўплываць на ўсе заражаныя сайты. Гэта неабходна, калі серверы C&C трапляюць у чорны спіс і неабходна хутка іх змяняць. Відавочна, што Пастебін цяжка выявіць і спыніць гэтыя дзеянні. Хоць гэта можа быць не што іншае, як афёра электроннай камерцыі, той жа метад можа быць выкарыстаны для забеспячэння шкоднасных праграм праз наборы эксплойтаў, якія могуць паставіць канчатковых карыстальнікаў на больш высокі рызыка. Аб'ём актыўнасці вакол Пасты паказвае, што могуць паўплываць сотні тысяч карыстальнікаў.

Каб не дапусціць захопу вашага сайта такімі нападамі, неабходна рэгулярна выпраўляць экземпляры WordPress і убудовы WordPress і абмяжоўваць доступ адміністратара да пэўнага IP-адрасу, напрыклад, знешняй IP-карпаратыўнай сеткі.

Чытайце аб Лепшыя сайты бяспекі

Ронен Атиас

Ронен Атиас - навуковы супрацоўнік Cato Networks. Ён з'яўляецца адным з топ-членаў каманды даследчых лабараторый Cato. Акрамя таго, непрактыкаваны біёлаг, прыхільнік MacGyver і эксперт ва ўсім свеце. Узлом планеты з ZX81.

Яшчэ паведамленні

Ронен Атиас - навуковы супрацоўнік Cato Networks. Ён з'яўляецца адным з топ-членаў каманды даследчых лабараторый Cato. Акрамя таго, непрактыкаваны біёлаг, прыхільнік MacGyver і эксперт ва ўсім свеце. Узлом планеты з ZX81. Паглядзець усе паведамленні ад Ronen Atias