БИЗНЕС-СЕТЬ KINETICS      |    ПОРТАЛЫ:   CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
Как перевести компанию на удаленную работу? >>>  
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

08/06/2020

Началась ковровая атака перебором паролей против WordPress, MySQL и PostgreSQL



Эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) опубликовал исследование вредоноса Stealthworker, который активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — WordPress, cPanel, Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordpressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. «Не до конца понятно, насколько использование этой темы значимо для операций Stealthwoker, но сейчас ее активно скачивают ежедневно, и особый пик скачиваний пришелся на 2 марта», — написал Кэшдоллар, отметив, что злоумышленники зачем-то заменили скрипт customizer.php скриптом загрузки файлов.

Любые нетекстовые файлы подгружаются с расширением .moban. Moban — это название еще одной темы WordPress со встроенной функцией загрузки файлов. Возможно, авторы Stealthworker использовали часть ее кода.

После подгрузки нужных злоумышленникам файлов, вредонос подключается к контрольному серверу, чтобы получить список целей и логинов и начинает производить сканирование. Брутфорс-атаки производятся на любые серверы, кроме тех, где установлен WordPress.

До начала атаки, однако, вредонос собирает основные данные о мишени, чтобы сгенерировать список возможных комбинаций логинов-паролей. Для этого вредонос пытается парсить имена авторов публикаций, почтовые адреса и другие данные, например тэги.

Дальше начинается распределенный брутфорс, где перебор возможных логинов и паролей производится одновременно с разных машин, что позволяет обойти распространенные средства защиты от подобных атак.

«Брутфорс — один из самых распространенных инструментов для взлома CMS и прочих сетевых служб: злоумышленники прекрасно знают, насколько слабыми бывают даже администраторские пароли, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти».



 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2020 Secutity Online. All rights reserved.