滚雪球模式,僵尸网络攻击WordPress网站

滚雪球模式,僵尸网络攻击WordPress网站

据外媒ZDNet报道,WordPress安全公司Defiant的研究人员近日发现了一个控制着超过20,000个已受感染WordPress网站的僵尸网络,其正被用于攻击和感染其他WordPress网站。一旦被攻陷,这些新站点就会被添加到僵尸网络中,这样它们也可以用来为攻击者执行命令。

Defiant公司负责管理和发布Wordfence插件,这是一个用于WordPress网站的防火墙系统。在Defiant发布的新研究结果中,我们发现攻击者已经为其僵尸网络“招募”了超过两万个WordPress网站。这个僵尸网络可以发出命令,暴力破解其他在线WordPress网站登录。Defiant进一步表示,在他们的Wordfence防暴力保护模块和IP黑名单中,已经阻止了这些攻击者的500多万次身份验证请求。

这些暴力攻击的目标是WordPress的XML-RPC端点,以便破解用户名和密码组合,直到发现有效帐户。XMLRPC是外部用户可以使用WordPress或其他API将内容远程发布到WordPress站点的端点。此端点位于xmlrpc.php文件中WordPress安装的根目录中。

XML-RPC的缺陷在于,在其默认实现中,不会对针对其发出的API请求数量执行速率限制。这意味着攻击者可以整天坐在那里不断尝试不同的用户名和密码,除非用户检查日志,否则没有人会收到警报。

暴力破解和字典攻击

密码破解技术中最基本的就是暴力破解,也叫密码穷举,简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何密码都只是一个时间问题。当然如果破译一个有8位而且有可能拥有大小写字母、数字以及符号的密码用普通的家用电脑可能会用掉几个月甚至更多的时间去计算,其组合方法可能有几千万亿种组合。这样长的时间显然是不能接受的。

滚雪球模式,僵尸网络攻击WordPress网站

如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置得十分简单,比如简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码。在一些领域,为了提高密码的破译效率而专门为其制造的超级计算机也不在少数,例如IBM为美国军方制造的“飓风”就是很有代表性的一个。

而字典攻击指的是,在破解密码或密钥时,逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。与暴力破解的区别是,暴力破解会逐一尝试所有可能的组合密码,而字典式攻击会使用一个预先定义好的单词列表(可能的密码)。

滚雪球模式,僵尸网络攻击WordPress网站

实施一次字典攻击需要具备两个要素:

首先,攻击者了解认证方式(包括认证协议以及地址、端口等信息),如同小偷需要知道库房在哪儿,房门挂着的是大铜锁还是密码锁,甚至虹膜、指纹识别?拿着一串金属钥匙想打开生指纹识别锁显然不现实。

其次,攻击者拥有比较全面的口令集,包含着各类常见的弱口令,或者目标系统经常出现的组合口令,或者目标系统曾经泄露的口令集。这样才有更多的尝试机会。通常一次字典攻击的实施还是很耗费时间的,特别是目标系统的口令不那么常见。

攻击原理剖析

Defiant公司的安全研究员Mikey Veenstra说,该公司已经设法深入了解这个僵尸网络的运作方式。此次攻击就是安全专家所说的“字典攻击”——重复登录尝试。在此期间攻击者测试一系列用户名和密码组合,希望获得一个点击并获得对帐户的访问权限。

攻击者是利用四个命令和控制服务器(C2)进行的,这些服务器通过俄罗斯Best-Proxies.ru服务的代理服务器向包括20,000多个WordPress网站的僵尸网络发出命令。为了匿名他们的C2命令,攻击者使用了Best-Proxies.ru提供的14,000多台代理服务器。

滚雪球模式,僵尸网络攻击WordPress网站

WordPress攻击链

一旦受感染的WordPress网站收到这些命令,他们就会开始暴力攻击目标对象的XML-RPC端点以获取登录凭据。

当Defiant看到大量冒充iPhone和Android的WordPress客户端的登录失败时,他们注意到了这次攻击。“我们还注意到,与这些请求相关联的用户代理字符串与常见的XML-RPC端点交互的应用程序使用的字符串相匹配,如wp-iphone和wp-android,” Defiant的研究表示,“由于这些应用程序通常在本地存储凭据,因此很难看到这样大规模的失败登录,这足以引起了我们的注意。我们确定了20,000多个WordPress网站组成了一个僵尸网络,进而攻击其他的WordPress网站。”

通过检查这些被攻击的网站,Defiant能够找到正在使用的暴力破解脚本。这些脚本接受来自C2服务器的POST数据,后者告知脚本在执行暴力攻击时要针对哪些域名,以及使用哪些预定义的“字典列表”。虽然这种策略不太可能在任何一个网站上取得成功,但在大规模目标上大规模使用时,它可能非常有效。

滚雪球模式,僵尸网络攻击WordPress网站

接受来自C2服务器的POST数据

在进一步检查脚本时,研究人员发现攻击者行事非常谨慎:该暴力破解脚本还会接收一个URL来检索新的字典列表,以防它们从受感染的站点中丢失。

滚雪球模式,僵尸网络攻击WordPress网站

从C2服务器下载字典列表

在正常情况下,由于攻击者使用代理网络隐藏其命令和控制服务器的位置,研究人员将无法跟踪整个僵尸网络的活动。幸运的是,Defiant表示,这个僵尸网络背后的人们“在实施蛮力脚本时出现了一些错误”,这使得研究人员可以暴露僵尸网络的整个后端基础设施。此外,Defiant还表示该僵尸网络的管理面板实施身份验证系统时也犯了错误。研究人员发现,他们能够绕过僵尸网络控制面板登录系统,并窥探攻击者的操作。

滚雪球模式,僵尸网络攻击WordPress网站

C2服务器界面

Defiant目前正在与世界各地的执法部门合作,通知受感染的用户并尽快清除该僵尸网络。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133234.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code