СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
09.06.2020
#ИБ#Инфра

WordPress, MySQL и PostgreSQL и другие платформы подверглись мощным брутфорс-атакам

Ларри Кешдоллар, ИБ-специалист из Akamai, рассказал о действии вредоносного софта Stealthworker, используемого для подбора паролей к распространённым онлайн-платформам. Потенциально вредонос может атаковать WordPress, cPanel, Drupal и множество других CMS, а также службы MySQL, PostgreSQL, SSH, FTP.

Исследователи из Akamai создали ловушку Honeypot, которая представлена в виде установленной WordPress с простым паролем администратора. В результате брутфорс-атаки киберпреступники взломали систему и поставили тему AlternateLite. Также ИБ-специалисты выявили двоичный процесс, который работал в качестве www-user, и существенное увеличение сетевого трафика. AlternateLite – бесплатная тема для WordPress.

Ларри Кешдоллар отметил: «Мы не понимаем, почему киберпреступники меняют тему и насколько этот шаг значим, но сегодня ее скачивают постоянно. Также хакеры по какой-то причине поменяли скрипт customizer.php на скрипт загрузки файлов. Подгрузка нетекстовых файлов выполняется с использованием расширения .moban. Это тоже название темы WordPress с интегрированной функцией загрузки файлов. Вероятно, киберпреступники применили часть ее кода».

После того, как киберпреступники загрузят необходимые файлы, вредоносный софт выполняет подключение к контрольному серверу для получения перечня целей и логинов, а затем начинает сканировать. Брутфорс-атаки выполняются на все серверы, за исключением тех, на которых стоит WordPress.

До начала кибератаки Stealthworker выполняет сбор информации о мишени для генерации перечня вероятных комбинаций логина/пароля. Дополнительно вредоносный софт парсит имена авторов публикаций, email-адреса и другую информацию, в том числе и теги. Затем осуществляется распределенный брутфорс – связки логин/пароль перебираются с различных устройств (это делается для обхода популярных защитных средств от таких кибератак).

Михаил Зайцев, ИБ-эксперт SECConsultServices, отметил: «CMS чаще всего взламывают именно с помощью брутфорс-атак, потому что киберпреступники прекрасно знают, что в больше половине случаев устанавливаются крайне простые пароли администраторов. Stealthworker – эффективный брутфорс-инструмент, которого стоит остерегаться».

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: