Время чтения 5 минуты

Продолжающаяся атака нацелена на тысячи сайтов, и ее число продолжает расти.

Злоумышленники превратили сотни взломанных сайтов с программным обеспечением WordPress в серверы управления и контроля, которые заставляют браузеры посетителей выполнять атаки по взлому паролей.

Веб -поиск JavaScript-кода, осуществившего атаку, показал, что на момент публикации этого поста на Ars он был размещен на 708 сайтах по сравнению с 500 двумя днями ранее. Денис Синегубко, исследователь, который заметил кампанию, сказал тогда, что он видел, как тысячи компьютеров посетителей запускали скрипт, из-за чего они обращались к тысячам доменов в попытке угадать пароли имен пользователей с учетными записями на них.

Невольно набраны посетители

«Именно так тысячи посетителей сотен зараженных веб-сайтов неосознанно и одновременно пытаются взломать тысячи других сторонних сайтов WordPress», — написал Синегубко . «А поскольку запросы поступают из браузеров реальных посетителей, вы можете себе представить, что фильтрация и блокировка таких запросов представляет собой сложную задачу».

Как и на взломанных веб-сайтах, на которых размещен вредоносный JavaScript, на всех целевых доменах установлена ​​система управления контентом WordPress. Скрипт размером всего 3 килобита обращается к контролируемому злоумышленником getTaskURL, который, в свою очередь, предоставляет имя конкретного пользователя на конкретном сайте WordPress, а также 100 общих паролей. Когда эти данные передаются в браузер, посещающий взломанный сайт, он пытается войти в целевую учетную запись пользователя, используя пароли-кандидаты. JavaScript работает в цикле, запрашивая задачи из getTaskURL, сообщая результаты в CompleteTaskURL, а затем выполняя шаги снова и снова.

Ниже отображается фрагмент размещенного JavaScript, а под ним результирующая задача:

const getTaskUrl = ‘ hxxps://dynamic-linx[.]com/getTask.php ‘ ;

const CompleteTaskUrl = ‘ hxxps://dynamic-linx[.]com/completeTask.php ‘ ; …

[ 871 , » https://REDACTED » , » отредактировано » , » 60 » , » свалка » , » джонсена » , » еврейский » , » jakejake » , » непобедимый » , » стажер » , » индира » , » боярышник » , » гавайский » , » ханна1 » , » галифакс » , » борзая » , » грин » , » гленда » , » футбол » , » свежий » , » француз » , » улет » , » флеминг » , » фишинг1 » , » наконец » , » феррис » , » фастбол » , » элиша » , » собачки » , » настольный » , » стоматологический » , » восторг » , » смертный ряд » , » ддддддд » , » кокер » , » чилли » , » чат » , » casey1 » , » плотник » , » калимеро » , » калгари » , » брокер » , » прорыв » ,« бутси » , « бонито » , « блэк123 » , « бисмарк » , « бигтайм » , « бельмонт »» , » барнс » , » мяч » , » бэггинс » , » стрела » , » один » , » щелочной » , » адреналин » , » эбботт » , » 987987 » , » 3333333 » , » 123qwerty » , » 000111 » , » zxcv1234 » , » Уолтон » , » Вон » , » Трягейн » , » Трент » , » Тэтчер » , » Тамплиер » , » Стратус » , » Статус » , » Паника » , » Маленький » , » Согрешил » , » Сильвер1 » » , » Сигнал » , » Шекспир » , » Селена » , » Шейсе » , » Сайонара » , » Сантакруз » , » Санити » , » Ровер » , » Розуэлл » , » Реверс » , » Редберд » , » Поппоп » , » помпон » , » поллукс » , » покерфейс » , » страсти » , » бумажки » ,« вариант » , « олимп » , « оливер1 » , « пресловутый » , « ничего1 » , « норрис » ,» nicole1 » , » некромант » , » безымянный » , » mysterio » , » mylife » , » мусульманин » , » monkey12 » , » mitsubishi » ]

Синегубко пришел к выводу, что, имея по состоянию на вторник 418 пакетов паролей, злоумышленники пробуют 41 800 паролей к каждому целевому сайту.

Синегубко писал:

Этапы атаки и жизненный цикл

Атака состоит из пяти ключевых этапов, которые позволяют злоумышленнику использовать уже скомпрометированные веб-сайты для проведения распределенных атак методом перебора на тысячи других сайтов-потенциальных жертв.

• Этап 1. Получите URL-адреса сайтов WordPress. Злоумышленники либо сами сканируют Интернет, либо используют различные поисковые системы и базы данных для получения списков целевых сайтов WordPress.
• Этап 2: Извлеките имена пользователей авторов. Затем злоумышленники сканируют целевые сайты, извлекая настоящие имена пользователей авторов, публикующих сообщения на этих доменах.
• Этап 3. Внедрение вредоносных скриптов. Затем злоумышленники внедряют свой сценарий Dynamic-linx[.]com/chx.js на веб-сайты, которые они уже взломали.
• Этап 4: Учетные данные грубой силы. Когда обычные посетители сайта открывают зараженные веб-страницы, загружается вредоносный скрипт. За кулисами браузеры посетителей проводят распределенную грубую атаку на тысячи целевых сайтов без какого-либо активного участия злоумышленников.
• Этап 5. Проверка скомпрометированных учетных данных. Злоумышленники проверяют учетные данные методом грубого подбора и получают несанкционированный доступ к сайтам, атакованным на этапе 1.

Итак, как же на самом деле злоумышленникам удается осуществить распределенную атаку методом перебора из браузеров совершенно невинных и ничего не подозревающих посетителей веб-сайта? Рассмотрим этап 4 более подробно.

Распределенные этапы атаки методом перебора:

1. Когда посетитель сайта открывает зараженную веб-страницу, браузер пользователя запрашивает задачу по URL-адресу hxxps://dynamic-linx[.]com/getTask.php .
2. Если задача существует, она анализирует данные и получает URL-адрес сайта для атаки, а также допустимое имя пользователя и список из 100 паролей, которые можно попробовать.
3. Для каждого пароля в списке браузер посетителя отправляет запрос wp.uploadFile XML-RPC API для загрузки файла с зашифрованными учетными данными, которые использовались для аутентификации этого конкретного запроса. Это 100 запросов API для каждой задачи! Если аутентификация прошла успешно, в каталоге загрузок WordPress создается небольшой текстовый файл с действительными учетными данными.
4. Когда все пароли проверены, скрипт отправляет уведомление на адрес hxxps://dynamic-linx[.]com/completeTask.php о том, что задача с определенным идентификатором задачи (вероятно, уникальный сайт) и идентификатором проверки (пакет паролей) завершена. .
5. Наконец, скрипт запрашивает следующую задачу и обрабатывает новую партию паролей. И так до бесконечности, пока открыта зараженная страница.

По состоянию на вторник исследователь наблюдал «десятки тысяч запросов» к тысячам уникальных доменов, которые проверяли файлы, загруженные браузерами посетителей. Большинство файлов сообщали о 404 веб-ошибках, что указывает на то, что вход в систему с использованием угаданного пароля не удался. Примерно 0,5 процента случаев вернули код ответа 200, что оставляет открытой возможность того, что подбор пароля мог быть успешным. При дальнейшей проверке только один из сайтов был скомпрометирован. Остальные использовали нестандартные конфигурации, возвращавшие ответ 200, даже для недоступных страниц.

За четыре дня, закончившихся во вторник, Синегубко зафиксировал более 1200 уникальных IP-адресов, с которых пытались загрузить файл учетных данных. Из них на пять адресов пришлось более 85 процентов запросов:

ИП	%	АСН
146.70.199.169	34,37%	М247, РО
138.199.60.23	28,13%	CDNEXT, ГБ
138.199.60.32	10,96%	CDNEXT, ГБ
138.199.60.19	6,54%	CDNEXT, ГБ
87.121.87.178	5,94%	СОУЗА-АС, БР

В прошлом месяце исследователь обнаружил один из адресов — 87.121.87.178 — с URL-адресом, использованным в атаке криптоджекинга . Одна из возможностей изменения заключается в том, что предыдущая кампания провалилась, потому что вредоносный URL-адрес, на который она опиралась, не был размещен на достаточном количестве взломанных сайтов, и в ответ тот же злоумышленник использует сценарий взлома пароля в попытке привлечь больше сайтов.

Как отмечает Синегубко, недавняя кампания имеет большое значение, поскольку в ней используются компьютеры и интернет-соединения ничего не подозревающих посетителей, которые не сделали ничего плохого. Один из способов остановить это — использовать NoScript или другой инструмент, который блокирует запуск JavaScript на неизвестных сайтах. NoScript ломает достаточно сайтов, поэтому он не подходит для менее опытных пользователей, и даже те, у кого больше опыта, часто обнаруживают, что хлопоты не стоят пользы. Еще одно возможное решение — использование определенных блокировщиков рекламы.