WordPress僵尸网络攻击WordPress网站

Defiant要挟情报团队近来发明一路针对WordPress网站的有组织的暴力破解进击活动。进击者创建了一个由受感染的WordPress网站组成的僵尸收集来履行进击,进击中考试测验经由过程XML-RPC认证来造访其他WordPress网站的特权账户。Wordfence以前30天共拦截到与该进击活动相关的认证有跨越500万次。

进击者用一组4个C2办事器来发送哀求给14000个俄罗斯代理供给商best-proxies[.]ru供给的代理办事器。进击者用这些代理使C2流量匿名化。哀求通报给代理办事器后,会被发送给跨越20000个被感染的WordPress网站。这些网站都运行一个进击WordPress网站的进击脚本。进击链如下图所示:

下面先容进击链的具体环境:

暴力破解进击脚本

钻研职员阐发发明履行暴力破解进击的IP险些都与主流的web托管供给商相关,而且进击的都是WordPress/xmlrpc.php的XML-RPC接口。钻研职员还留意到与这些哀求匹配的User-Agent字符串与wp-iphone和wp-android与XML-RPC接口交互的要领是匹配的。由于这些利用都邑本地保存凭据,是以假如有大年夜量的登岸掉败记录属于非常环境。钻研职员共发明有跨越20000个WordPress网站进击其他的WordPress网站。

WordPress进击WordPress

进击脚本首先会进击WordPress网站的XML-RPC接口来测试username/password的组合,对每个哀求随机捏造User-Agent字符串:

暴力破解脚本会经由过程POST来获取C2输入来定义履行设置的字符串,比如目标域名的JSON数组和本地wordlist(词典):

动态词典天生

与进击活动相关的词典包孕一小部分常见密码集。脚本还可以根据常见的模式来动态天生相宜的密码。常见的模式有:

%domainPattern%

%userName%

%userName%1

%userName%123

%userName%2018

%userName%2017

%userName%2016

换句话说,假如暴力破解脚本考试测验以用户alice来登岸example.com,就会天生alice1, alice2018这样的密码。但这种技巧在一些给定的网站中并不会成功,是以在大年夜规模考试测验的历程中就会呈现大年夜规模掉败。

Multicall组呼功能

WordPress的XML-RPC接口在2015年的暴力破解进击中就被关注过,那时刻使用组合功能的进击还异常盛行。应用接口进击者可以在一个哀求中发送大年夜量的user/password组合。WordPress会测试每个组合,然后返回成功/差错的列表。由于进击者只必要发送一个凭据列表然后等待结果就可以了,是以这使暴力破解进击大年夜规模利用时变得加倍简单。

进击活动中的暴力破解脚本默认会履行组呼进击。下面的代码段可以看出,在给定用户名和一些密码后,函数会组合一个含有所有要考试测验的密码的XML工具。

应用指令来履行暴力破解进击的C2系统还可以选择性的定义$startPass和$endPassvariables,这使暴力破解脚本只考试测验一个给定列表的密码子集,而不是完备的密码集,这可以节省光阴。

Multicall进击不再有效

许多WordPress用户可能并没故意识到XML组呼进击不再有效了。由于WordPress 4.4中引入了wp-includes/class-wp-xmlrpc-server.php的补丁。引入该补丁后,假如一个用户在目标网站上的XML-RFC考试测验登岸哀求掉败了,那么相同哀求中随后的考试测验都邑掉败,纵然凭据是有效的。

WordPress 4.4的XML-RPC补丁并没有宣布记录。然则假如WordPress版本在4.3之前,该进击措施照样有效的。进击者应该也是意识到了该补丁,钻研职员工防火墙拦截到的哀求中都定义了$startPass和$endPass参数,并且值也是一样的。也便是说进击脚本每次只考试测验一个用户名和密码的组合就停止。

根基举措措施

C2办事器

进击链在进击者和目标站点之间应用了多抽象层。暴力破解进击是由受感染的WordPress收集履行的,受感染的WordPress站点是经由过程代理办事器收集来接管指令的,以是很难追踪背后的中间C2办事器。

但钻研职员发明进击者用于暴力破解的脚本存在一些差错。每个脚本所用的词典都保存在同一受感染的WordPress站点上,此中含有从新天生字典的函数:

checkWordsList()函数会通报一个$path参数,该参数定义了含有字典的远程地址。假如没有本地字典,脚本就会从给定的地址下载。路径是从代理办事器发给暴力破解脚本的POST数据的残剩部分。钻研职员拦截到的哀求中包孕有路径和IP地址。

IP指向一个含有登录页的办事器:

C2办事器中的简单登岸页

C2接口造访

对C2的进一步阐发显示,对这些系统的认证并不是强制的。考试测验造访C2接口的页面会触发一个302差错重定向到登岸页,但利用在重定向的时刻也会发送数据。

到C2办事器主页的cURL哀求

钻研职员用BurpSuite创建了一个轻忽登岸重定向的代理规则,这样就可以浏览C2利用的接口了。该接口包孕大年夜量特性,包括造访含有暴力破解脚本的受感染的WordPress僵尸网站的能力。

[1] [2]下一页

C2接口显示进击者导出的日志列表

Best-Proxies.ru

钻研职员经由过程造访C2办事器接口发明这些办事器和代理办事器有必然的相关性。每个办事器在webroot中都含有proxy.txt文件。该文件中有含有上万条SOCKS代理地址、IP地址和端口的文件。这些IP地址与之前发明的代理办事器的地址是重合的,也便是说C2在进击时根据该文件跟着选择代理,钻研职员共发明14807个代理办事器。

然则也有C2办事器的proxy.txt文件中不含有代理地址,而是一个HTML文件。该文件是一个503办事弗成达的差错页面副本,此中含有一个到api.best-proxies.ru的链接。文件也是俄语的,翻译过来便是“认证差错,key的有效期已过,请购买新key”。

C2办事器差错文件截图显示,进击者没有更新用来造访代理列表的API key。

若何应对

为了防止WordPress网站成为暴力破解进击的受害者,治理员应该对差错登岸进行限定和锁定等策略。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包