Спецпроекты

Началась ковровая атака перебором паролей против WordPress, MySQL и PostgreSQL

3023
Безопасность

Вредоносная программа паразитирует на установках WordPress со слабыми паролями и пытается с помощью брутфорс-атак взломать другие системы управления контентом и сетевые службы.

Как пчела в сиропе

Эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) опубликовал исследование вредоноса Stealthworker, который активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — WordPress, cPanel, Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordpressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. «Не до конца понятно, насколько использование этой темы значимо для операций Stealthwoker, но сейчас ее активно скачивают ежедневно, и особый пик скачиваний пришелся на 2 марта», — написал Кэшдоллар, отметив, что злоумышленники зачем-то заменили скрипт customizer.php скриптом загрузки файлов.

Новый вредонос захватывает WordPress и брутфорсит другие CMS

Любые нетекстовые файлы подгружаются с расширением .moban. Moban — это название еще одной темы WordPress со встроенной функцией загрузки файлов. Возможно, авторы Stealthworker использовали часть ее кода.

Брутфорсим все, WordPress — в уме

После подгрузки нужных злоумышленникам файлов, вредонос подключается к контрольному серверу, чтобы получить список целей и логинов и начинает производить сканирование. Брутфорс-атаки производятся на любые серверы, кроме тех, где установлен WordPress.

До начала атаки, однако, вредонос собирает основные данные о мишени, чтобы сгенерировать список возможных комбинаций логинов-паролей. Для этого вредонос пытается парсить имена авторов публикаций, почтовые адреса и другие данные, например тэги.

Дальше начинается распределенный брутфорс, где перебор возможных логинов и паролей производится одновременно с разных машин, что позволяет обойти распространенные средства защиты от подобных атак.

«Брутфорс — один из самых распространенных инструментов для взлома CMS и прочих сетевых служб: злоумышленники прекрасно знают, насколько слабыми бывают даже администраторские пароли, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти».