وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • باگ امنیتی TrafficTrade در وردپرس

    بهاره قلندرنژاد پنج شنبه ۱۹ مرداد ۱۳۹۶ اخبار , امنیت , مقالات , وردپرس

    اخیرا افزایش چشمگیری در تعداد وبسایت های آلوده به بدافزاری که ما آنرا TrafficTrarde می نامیم دیده می شود. این بدافزار در واقع تکه ای کد جاوا اسکریپت است که یک مهاجم وقتی محتوای سایت شما را دستکاری کرد وارد سایت تان می کند. پس از آن بازدیدکنندگان سایت شما به پلاگین های های مرورگر آلوده منتقل می شوند یا اینکه شروع به تولید اسپم های تبلیغاتی می کند.

     

    TrafficTrade چگونه وبسایت تان را آلوده می کند؟

    تیم خدمات امنیتی Wordfence دو روش متفاوت آلوده سازی را کشف کرده است. دسته اول وبسایت هایی هستند که اسکریپت searchreplacedb2.php را حذف نکرده اند. این دسته آلودگی ها کمی غیر رایج می باشد. اما دسته دوم رایج ترین روش است. این آسیب پذیری به مهاجمین اجازه می دهد تا کدهای مخربی را به داخل جدول wp_options تزریق کرده و آنرا به صفحات مخرب یا کمپین های تبلیغاتی انتقال دهد.

    Wordfence یک قاعده فایروال پیشرفته را حدود ۴۰ روز پیش منتشر کرد که جلوی بهره برداری مهاجمین از تم روزنامه ای را می گیرد. شما حتی اگر یک تم آسیب پذیر داشته باشید، با قاعده فوق در امان خواهید ماند. نمودار زیر به خوبی نشان می دهد که چگونه توزیع حملات بوسیله تم روزنامه ای تصرف شده است. حملات روی searchreplacedb2.php تنها ۴% از کل حملات طی هفته های اخیر بوده است.

    نحوه صعود کمپین ( مرکز اصلی/مرکز تجمع) حمله TrafficTrade.life

    بعنوان مثال دامنه traffictrade.life در تاریخ ۳ جولای ۲۰۱۷، حدود یک ماه قبل، ثبت شده بوده است. این دامنه بوسیله WhoisGuard حفاظت می شود که شرکتیست پانامایی که خدمات ثبت دومین بی نام ارائه می کند.

    از تاریخ ۱۰ جولای  حملاتی که سعی داشتند بدافزارهایی با انتقال های مخرب که در آدرس traffictrade.life میزبانی می شدند را شیوع دهند مشاهده شده است. تعداد کل حملات در هر روز از ۱ عدد تا نهایتاً ۶۳۰ عدد متغیر بوده است. اما به ناگاه در هفته گذشته همه چیزهایی که باید اتفاق میوفتاد اتفاق افتاد که می توانید در نمودار زیر مشاهده کنید.  حدود ۱۵۰۰۰ حمله در روز که همه سعی داشتند انتقال مخرب خود را به آدرس traffictrade.life انجام دهند، مشاهده شد.

    حتی Google Trends افزایش چشمگیری در تعداد دفعات جستجوی عبارت traffictrade در بازه زمانی انتهای جولای که تعداد حملات صعود کردند و وب مسترها شروع به جستجوی گوگل برای دریافت کمک کردند را نشان می دهد.

     

    کاری که بدافزار TrafficTrade روی سایت شما انجام می دهد

     

    به محض آلوده شدن توسط TrafficTrade، این بدافزار جاوا اسکریپتی که از دومین TrafficTrade.life بارگذاری می شود را به سایت تزریق می کند. خود اسکریپت خیلی ساده است. اگر URL آنرا دستی وارد کنید چیزی شبیه:

    می باشد.

    این کد بازدیدکنندگان شما را به دومین trafficreceiver منتقل می کند که آن نیز شما را به هر کمپینی که در حال برگزاری باشد منتقل می کند. در مورد آزمایشی که من (نویسنده متن) انجام دادم، شما به سایتی منتقل می شوید که از شما می خواهد یک پلاگین Chrome را نصب کنید- غالباً آلوده است.

    این حملات از کجا می آیند؟

    اکثر حملات کشف شده و آنهایی که کد انتقال مخرب TrafficTrade را بارگذاری کرده اند از ۴ IP زیر می آیند:

    ۷۹٫۱۱۰٫۱۲۸٫۱۲۸ – ۱۳,۶۹۸  حمله

    ۷۹٫۱۱۰٫۱۲۸٫۱۷  – ۱۱,۰۷۱ حمله

    ۷۹٫۱۱۰٫۱۲۸٫۶۳ – ۴,۷۹۸ حمله

    ۷۹٫۱۱۰٫۱۲۸٫۲۵۲ – ۶۰۷ حمله

    ما در حال جستجوی حملاتی هستیم که از صدها IP دیگر نیز نشات گرفته باشند اما اعداد بدست آمده از سایر IP ها تا اینجای کار خیلی کم بوده اند – نهایتا دو رقمی. اما اعداد بالا مهمترین مهاجمین تا بدینجای ماجرا هستند.

    اما اعداد فوق به UnderNet LLC مستقر در کیف اوکراین تعلق دارند. این IPها بخشی از ۲۰۴۸ آدرس در محدوده ۷۹٫۱۱۰٫۱۲۸٫۰ – ۷۹٫۱۱۰٫۱۳۵٫۲۵۵ هستند. وبسایت UnderNet LLC در آدرس under.net.ua قرار دارد و صفحه اصلی آن بشکل زیر است:

     

    تغییر در هاستینگ و تاکتیکها در تاریخ ۳۱ جولای

    بازیگرانی که پشت حمله TrafficTrade قرار دارند تا تاریخ ۳۱ جولای از یک شرکت هاستینگ به ضعم خودش «غیر قابل نفوذ» استفاده می کردند. سرورهای آنها در HostSailor هلند واقع شده ببود که Brian Kerbs به تفصیل در آگوست ۲۰۱۶ در مورد آنها نوشته است. بر اساس نوشته Kerbs، HostSailor تاریخچه پرباری از میزبانی محتویات و خدمات آلوده و مخرب داشته است؛ درست مانند مالکش!

    در تاریخ ۳۱ جولای، کمپین آدرس اصلی IP و تاکتیک خود را همزمان تغییر داد. آدرس IP ای که دامنه traffictrade.life به آن اشاره می کرد از ۱۸۵٫۱۸۳٫۹۶٫۳۳ که در HostSailor هلند میزبانی می شد به ۲۰۰٫۷٫۱۰۵٫۴۳ که در «HZ Hosting Ltd» معروف به HostZealot میزبانی می شود تغییر کرد.

     

    وبسایت HostZealot در آدرس www.hostzealot.com قرار دارد و شرکت مطبوعش در شهر Plovdiv در بلفارستان واقع شده است.

    در همان تاریخ تغییر در تاکتیک ها نیز مشاهده شده است. مهاجمین از تلاش برای بهره برداری از searchreplacdb2.php به تلاش برای بهره برداری از تم روزنامه ای وردپرس تغییر تاکتیک دادند. آمار حملات در همان تاریخ با تغییر IP دامنه افزایش وحشتناکی را نشان داد. ۱۵۰۰۰ حمله در روز مشاهده می‌شد.

    همانطور که نمودار زیر نشان می دهد، مهاجمین بلافاصله پس از سوئیچ نمودن به HostZealot تعداد حملات را به ۱۵۰۰۰ در روز افزایش دادند.

    احتمالا دلیل مهاجمین برای سوئیچ کردن از HostSailor این بوده که HostSailor توسط بسیاری از شرکتهای امنیتی و فایروالهای آنلاین، من جمله Wordfence، در لیست سیاه قرار گرفته بود. لذا احتمالا سوئیچ کردن به یک میزبان غیرقابل نفوذ کمتر شناخته شده باعث شده که بتوانند از لیستهای سیاه و فایروالها عبور کنند.

    برگرفته از [wordfence.com]

     

    1+

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *