اخیرا افزایش چشمگیری در تعداد وبسایت های آلوده به بدافزاری که ما آنرا TrafficTrarde می نامیم دیده می شود. این بدافزار در واقع تکه ای کد جاوا اسکریپت است که یک مهاجم وقتی محتوای سایت شما را دستکاری کرد وارد سایت تان می کند. پس از آن بازدیدکنندگان سایت شما به پلاگین های های مرورگر آلوده منتقل می شوند یا اینکه شروع به تولید اسپم های تبلیغاتی می کند.
TrafficTrade چگونه وبسایت تان را آلوده می کند؟
تیم خدمات امنیتی Wordfence دو روش متفاوت آلوده سازی را کشف کرده است. دسته اول وبسایت هایی هستند که اسکریپت searchreplacedb2.php را حذف نکرده اند. این دسته آلودگی ها کمی غیر رایج می باشد. اما دسته دوم رایج ترین روش است. این آسیب پذیری به مهاجمین اجازه می دهد تا کدهای مخربی را به داخل جدول wp_options تزریق کرده و آنرا به صفحات مخرب یا کمپین های تبلیغاتی انتقال دهد.
Wordfence یک قاعده فایروال پیشرفته را حدود 40 روز پیش منتشر کرد که جلوی بهره برداری مهاجمین از تم روزنامه ای را می گیرد. شما حتی اگر یک تم آسیب پذیر داشته باشید، با قاعده فوق در امان خواهید ماند. نمودار زیر به خوبی نشان می دهد که چگونه توزیع حملات بوسیله تم روزنامه ای تصرف شده است. حملات روی searchreplacedb2.php تنها 4% از کل حملات طی هفته های اخیر بوده است.
نحوه صعود کمپین ( مرکز اصلی/مرکز تجمع) حمله TrafficTrade.life
بعنوان مثال دامنه traffictrade.life در تاریخ 3 جولای 2017، حدود یک ماه قبل، ثبت شده بوده است. این دامنه بوسیله WhoisGuard حفاظت می شود که شرکتیست پانامایی که خدمات ثبت دومین بی نام ارائه می کند.
از تاریخ 10 جولای حملاتی که سعی داشتند بدافزارهایی با انتقال های مخرب که در آدرس traffictrade.life میزبانی می شدند را شیوع دهند مشاهده شده است. تعداد کل حملات در هر روز از 1 عدد تا نهایتاً 630 عدد متغیر بوده است. اما به ناگاه در هفته گذشته همه چیزهایی که باید اتفاق میوفتاد اتفاق افتاد که می توانید در نمودار زیر مشاهده کنید. حدود 15000 حمله در روز که همه سعی داشتند انتقال مخرب خود را به آدرس traffictrade.life انجام دهند، مشاهده شد.
حتی Google Trends افزایش چشمگیری در تعداد دفعات جستجوی عبارت traffictrade در بازه زمانی انتهای جولای که تعداد حملات صعود کردند و وب مسترها شروع به جستجوی گوگل برای دریافت کمک کردند را نشان می دهد.
کاری که بدافزار TrafficTrade روی سایت شما انجام می دهد
به محض آلوده شدن توسط TrafficTrade، این بدافزار جاوا اسکریپتی که از دومین TrafficTrade.life بارگذاری می شود را به سایت تزریق می کند. خود اسکریپت خیلی ساده است. اگر URL آنرا دستی وارد کنید چیزی شبیه:
می باشد.
این کد بازدیدکنندگان شما را به دومین trafficreceiver منتقل می کند که آن نیز شما را به هر کمپینی که در حال برگزاری باشد منتقل می کند. در مورد آزمایشی که من (نویسنده متن) انجام دادم، شما به سایتی منتقل می شوید که از شما می خواهد یک پلاگین Chrome را نصب کنید- غالباً آلوده است.
این حملات از کجا می آیند؟
اکثر حملات کشف شده و آنهایی که کد انتقال مخرب TrafficTrade را بارگذاری کرده اند از 4 IP زیر می آیند:
79.110.128.128 – 13,698 حمله
79.110.128.17 – 11,071 حمله
79.110.128.63 – 4,798 حمله
79.110.128.252 – 607 حمله
ما در حال جستجوی حملاتی هستیم که از صدها IP دیگر نیز نشات گرفته باشند اما اعداد بدست آمده از سایر IP ها تا اینجای کار خیلی کم بوده اند – نهایتا دو رقمی. اما اعداد بالا مهمترین مهاجمین تا بدینجای ماجرا هستند.
اما اعداد فوق به UnderNet LLC مستقر در کیف اوکراین تعلق دارند. این IPها بخشی از 2048 آدرس در محدوده 79.110.128.0 – 79.110.135.255 هستند. وبسایت UnderNet LLC در آدرس under.net.ua قرار دارد و صفحه اصلی آن بشکل زیر است:
تغییر در هاستینگ و تاکتیکها در تاریخ 31 جولای
بازیگرانی که پشت حمله TrafficTrade قرار دارند تا تاریخ 31 جولای از یک شرکت هاستینگ به ضعم خودش «غیر قابل نفوذ» استفاده می کردند. سرورهای آنها در HostSailor هلند واقع شده ببود که Brian Kerbs به تفصیل در آگوست 2016 در مورد آنها نوشته است. بر اساس نوشته Kerbs، HostSailor تاریخچه پرباری از میزبانی محتویات و خدمات آلوده و مخرب داشته است؛ درست مانند مالکش!
در تاریخ 31 جولای، کمپین آدرس اصلی IP و تاکتیک خود را همزمان تغییر داد. آدرس IP ای که دامنه traffictrade.life به آن اشاره می کرد از 185.183.96.33 که در HostSailor هلند میزبانی می شد به 200.7.105.43 که در «HZ Hosting Ltd» معروف به HostZealot میزبانی می شود تغییر کرد.
وبسایت HostZealot در آدرس www.hostzealot.com قرار دارد و شرکت مطبوعش در شهر Plovdiv در بلفارستان واقع شده است.
در همان تاریخ تغییر در تاکتیک ها نیز مشاهده شده است. مهاجمین از تلاش برای بهره برداری از searchreplacdb2.php به تلاش برای بهره برداری از تم روزنامه ای وردپرس تغییر تاکتیک دادند. آمار حملات در همان تاریخ با تغییر IP دامنه افزایش وحشتناکی را نشان داد. 15000 حمله در روز مشاهده میشد.
همانطور که نمودار زیر نشان می دهد، مهاجمین بلافاصله پس از سوئیچ نمودن به HostZealot تعداد حملات را به 15000 در روز افزایش دادند.
احتمالا دلیل مهاجمین برای سوئیچ کردن از HostSailor این بوده که HostSailor توسط بسیاری از شرکتهای امنیتی و فایروالهای آنلاین، من جمله Wordfence، در لیست سیاه قرار گرفته بود. لذا احتمالا سوئیچ کردن به یک میزبان غیرقابل نفوذ کمتر شناخته شده باعث شده که بتوانند از لیستهای سیاه و فایروالها عبور کنند.
برگرفته از [wordfence.com]