WordPress web sitelerini hedef alan bir siber saldırı kampanyası, uzmanların bir milyona kadar web sitesinin güvenliğinin ihlal edilmiş olabileceğini tahmin etmesiyle son zamanlarda önemli endişelere neden oldu.
Kötü amaçlı bir Linux arka kapısı eklemek için temalardaki ve eklentilerdeki bilinen güvenlik açıklarını kullanan kampanya devam ediyor.
Siber güvenlik araştırmacıları arka kapıyı “Balad Enjektörü” olarak tanımlarken. Söz konusu kampanyanın 2017’den beri aktif olarak yürütüldüğü ve birincil amacının kullanıcıları çeşitli çevrimiçi dolandırıcılık türlerine yönlendirmek olduğu görülüyor ve bunlar arasında şunlar yer alıyor:-
- Sahte teknik destek sayfaları
- Piyango dolandırıcılığı
- Push bildirim dolandırıcılığı
Uzun Süren Enfeksiyon Dalgaları
Sucuri, kısa bir süre önce Balad Enjektör kampanyasının Dr. Web’in Aralık 2022’de bildirdiği kampanyayla aynı olduğunu belirledi.
Bu kampanya, saldırganların etkilenen web sitelerine yetkisiz erişim elde etmesine izin veren bir arka kapı eklemek için birden çok eklenti ve temadaki güvenlik açıklarından yararlanır.
Sucuri, Balad Enjektör kampanyasının dalgalar halinde çalıştığını ve saldırıların yaklaşık olarak ayda bir kez meydana geldiğini bildirdi. Saldırganlar, engelleme listelerinden ve diğer güvenlik önlemlerinden kaçınmak için her saldırı dalgası için yeni kaydedilmiş bir alan adı kullanır.
Kötü amaçlı yazılım kampanyaları gibi, Balad Injector kampanyası da genellikle çeşitli temalar ve eklentilerdeki son zamanlarda açıklanan güvenlik açıklarından yararlanır. Kampanyanın arkasındaki saldırganlar, hedefledikleri belirli kusura göre uyarlanmış özel saldırı rutinleri oluşturur.
Bu alan adlarının çoğu, genellikle aşağıdaki gibi saçma sapan bilgilerden oluşan iki veya dört İngilizce kelimenin birleşimidir: –
- bazen özgür[.]biz
- kader[.]iletişim
- İsim yürüyüşü için seyahat[.]ga
- istatistik çizgisi[.]iletişim
Enjeksiyonlar, geçerli dalga alanındaki çeşitli alt alanlardaki URL’lerin kullanılmasıyla gerçekleştirilir, örneğin:-
- java.bazen ücretsiz[.]biz/counter.js – aktif 2017
- yavaş.destinyfernandi[.]com/slow.js – aktif 2020
- main.travelfornamewalking[.]ga/stat.js – aktif 2021
- cdn.statisticline[.]com/scripts/sway.js – aktif 2023
Balad Injector kampanyasının web sitesi güvenliği üzerindeki etkisi, 2022’de SiteCheck tarafından kaydedilen tüm engellenenler listesine alınan kaynak tespitlerinin %67,2’sinden çeşitli kötü amaçlı yazılım dalgalarıyla ilişkili 32 alanın sorumlu olduğu gerçeğiyle kanıtlandığı gibi, önemlidir.
Bu alan adları, engellenen kaynaklar listesinde ilk beş sırayı tamamen işgal etti ve bu da kampanyanın yaygın ve kalıcı doğasını gösteriyor.
İşte en çok algılama sayısına sahip en üst sıradaki alanlar: –
- efsanevi masa[.]com: 18.102 Tespit
- hava durumu planı[.]com: 13.133 Tespit
- Klasik ortaklıklar[.]com: 10.726 Tespit
- reklamlar.özeladves[.]com: 8.295 Tespit
- line.storerightdesicion[.]com: 7.899 Tespit
Enjeksiyon Yöntemleri
Sucuri, Balad Injector kampanyası tarafından WordPress web sitelerini tehlikeye atmak için kullanılan çeşitli enjeksiyon yöntemlerini gözlemledi. Bu yöntemler şunları içerirken: –
- siteurl hackleri
- HTML enjeksiyonları
- Veritabanı enjeksiyonları
- İsteğe bağlı dosya enjeksiyonları
Balad Injector kampanyası, WordPress web sitelerini tehlikeye atmak için birçok saldırı vektörü kullanır ve bu da yinelenen site bulaşmalarına neden olur. Bazı durumlarda, sonraki kampanya dalgaları zaten güvenliği ihlal edilmiş siteleri hedef aldı.
Sucuri, tek bir sitede gözlemlenen 311 kadar saldırı ile birden çok kez saldırıya uğrayan site örnekleri belirledi. Böyle bir durumda, siteyi tehlikeye atmak için Balad Injector kötü amaçlı yazılımının 11 farklı sürümü kullanıldı.
Balada’nın Aktivitesi
Balad Injector kampanyası, WordPress web sitelerinden veritabanı kimlik bilgilerini çalmaya odaklanarak hassas bilgileri sızdırmak için tasarlanmıştır. wp-config[.]php Dosyalar.
Bu, site sahibi ilk bulaşmayı temizlese ve eklentilerini yamalasa bile tehdit aktörlerinin güvenliği ihlal edilmiş sitelere erişmesine olanak tanır.
hedeflemeye ek olarak wp-config[.]php Balad Injector kampanyası, aşağıdakiler gibi çeşitli diğer hassas bilgileri sızdırmayı amaçlar:-
- Yedekleme arşivleri
- veritabanları
- Erişim günlükleri
- Hata ayıklama bilgileri
- Diğer hassas dosyalar
Balad Injector kötü amaçlı yazılımı, çeşitli kötü amaçlı yöntemler kullanır ve bunlardan biri, aşağıdakiler gibi popüler veritabanı yönetim araçlarının varlığını aramayı içerir: –
Bu araçlar yanlış yapılandırılmışsa veya savunmasızsa, saldırganlar bunları yeni yönetici kullanıcılar oluşturmak, hassas bilgileri ayıklamak veya veritabanına kalıcı kötü amaçlı yazılım enjekte etmek için kullanabilir.
Saldırganlar, bu erişilebilir yollar mevcut değilse, yönetici şifresini tahmin etmek için 74 kimlik bilgisi kombinasyonunu deneyerek kaba kuvvet saldırılarına yönelirler.
Balad Injector kötü amaçlı yazılımı bir WordPress sitesini ele geçirdiğinde, saldırganlar kalıcı erişim ve kontrol sağlamak için birden çok arka kapı yerleştirir.
Bu arka kapılar, saldırganlar için bir proxy sağlayan gizli erişim noktalarıdır, yani bir arka kapı keşfedilip kaldırılsa bile, erişimi sürdürmek için diğerleri yerinde olabilir.
Balada Injector kötü amaçlı yazılımı, kaldırılması zor olacak şekilde tasarlanmıştır ve bu da onu güvenliği ihlal edilmiş WordPress siteleri için kalıcı bir tehdit haline getirir.
Saldırganlar tarafından kullanılan taktiklerden biri, arka kapıları önceden tanımlanmış 176 yola bırakarak, saldırganların ilk enfeksiyon kaldırıldıktan sonra bile sitenin kontrolünü elinde tutmasına olanak tanıyan birden çok gizli erişim noktası oluşturmaktır.
Balada Enjektör kampanyası ayrıca, temizlenen sitelere erişimi sürdürmek için siteler arası bulaşmalardan yararlanır.
Saldırganlar, eklentilerdeki ve temalardaki güvenlik açıklarından yararlanarak siteyi barındıran temeldeki VPS’ye kolayca erişebilir. Bu erişime sahip olduklarında, VPS’ye erişimlerini sürdürdükleri sürece temizlenmiş sitelere tekrar tekrar virüs bulaştırabilirler.
öneriler
Aşağıda, Sucuri’deki güvenlik analistleri tarafından sunulan tüm temel ve düzenli önerilerden bahsetmiştik:-
- Tüm web sitesi yazılımını ve eklentilerini güncel tuttuğunuzdan emin olun.
- Ayrıca kurulu temalarınızı güncel tutmayı unutmayınız.
- Daima güçlü ve benzersiz parolalar kullanın.
- İki faktörlü kimlik doğrulamanın uygulanmasını sağlayın.
- Dosya bütünlüğü sistemleri eklediğinizden emin olun.
- Her zaman web sitenizin veritabanının düzenli yedeklerini alın.
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar? – İndirmek Ücretsiz E-kitaplar ve Teknik İncelemeler
İlgili Okuma: