Новости информационной безопасности

Ботнет из WordPress-сайтов ищет новые жертвы

Массовые брутфорс-атаки на сайты WordPress зарегистрировали специалисты Defiant Threat Intelligence. Команда экспертов забила тревогу после обнаружения более 5 млн попыток аутентификации. Нападения осуществляются с помощью ботнета, насчитывающего 20 тыс. скомпрометированных ресурсов на том же движке.

Согласно отчету исследователей, за нападениями стоит организованная группа злоумышленников. Автор публикации, Майки Венстра (Mikey Veenstra), утверждает, что кампания проводится с четырех командных центров. Чтобы затруднить обнаружение, взломщики направляют трафик почти через 15 тыс. прокси-серверов, предоставленных провайдером best-proxies[.]ru.

Армия ботнета состоит из 20 тыс. зараженных веб-ресурсов, на которых размещен вредоносный скрипт для получения доступа к целевым площадкам WordPress, — их адреса поступают с командных центров. Злоумышленники проводят атаки через протокол XML-RPC, позволяющий обходить механизм защиты CMS от атак методом перебора. Запросы с парами учетных данных отправляются через запрос system.multicall.

Как сообщают эксперты, компрометация учетных записей происходит методом перебора по словарю с поддержкой динамической генерации паролей. Например, при использовании логина username в качестве пароля могут выступать комбинации username1 или username2018. Большая часть запросов на аутентификацию приходит с мобильных приложений — wp-iphone и wp-android.

Однако организаторы кампании допустили ряд промахов. Выяснилось, что все боты получают список слов для перебора с одного скомпрометированного сайта. В случае если необходимый набор отсутствует, его загружают из источника, путь к которому находится в коде брутфорс-скрипта и содержит IP-адрес одного из командных серверов злоумышленников.

Воспользовавшись этими адресами, эксперты смогли обнаружить C&C-сервер. Как оказалось, защите своего командного центра преступники также не уделили должного внимания. При попытке неавторизованного посетителя перейти в другие разделы сайта его вновь перенаправляют на страницу ввода логина и пароля, однако при переходе пересылаются и данные ресурса, в доступе к которому было отказано.

С помощью утилиты Burp suite исследователи смогли обойти перенаправление на страницу входа и изучили панель управления ботнетом. Сайт содержал список подконтрольных ресурсов, а на командном сервере хранился файл proxy.txt с адресами и портами для пересылки пакетов по протоколу SOCKS.

Три из обнаруженных хостов были предоставлены провайдером HostSailor, известным по нападениям на сайт Брайна Кребса (Brian Krebs), а еще один — компанией Selectel. Сервера злоумышленников расположены в Нидерландах, Румынии и России.

Рост числа атак на ресурсы WordPress по протоколу XML-RPC в 2015 году фиксировали исследователи компании Sucuri. Авторы атак также использовали метод system.multicall, однако масштабы кампании были куда скромнее — в сутки регистрировалось около 60 тыс. попыток взлома.

Дата: 2018-12-06 16:31:47

Источник: https://threatpost.ru/wordpress-botnet-on-the-lookout-for-new-victims/29587/