Botnetz von 20.000 infizierten WordPress-Sites

Publiziert am 9. Dezember 2018 von Günter Born

Das Sicherheitsteam von Wordfence hat ein Botnetz aus über 20.000 infizierten WordPress-Sites aufgedeckt. Dieses wird verwendet, um weitere WordPress-Installationen anzugreifen.

Anzeige

Das Ganze ist im Wordfence-Blog beschrieben. Das Team von Defiant Threat Intelligence wurde kürzlich auf eine Brut-Force-Kampagne gegen WordPress aufmerksam und begann die Angriffe zu verfolgen. Dabei kam heraus, dass diese Kampagne durch ein Botnet von infizierten WordPress-Websites erfolgt. Dieses Botnet versucht Angriffe andere WordPress-Sites per XML-RPC-Authentifizierung. Ziel ist es, auf privilegierte Konten zuzugreifen.

Wordfence schreibt, dass der Brute-Force-Schutz von Wordfence und über die Echtzeit-IP-Blacklist allein in den letzten dreißig Tagen mehr als fünf Millionen bösartige Authentifizierungsversuche im Zusammenhang mit dieser Angriffskampagne blockiert wurden.

Die Angreifer verwenden eine Gruppe von vier Command and Control (C2)-Servern, um Anfragen an über 14.000 Proxy-Server zu senden, die von einem russischen Proxy-Anbieter namens best-proxies[.]ru bereitgestellt werden. Die Hacker verwenden diese Proxies, um den C2-Verkehr zu anonymisieren. Die Anfragen gehen über die Proxy-Server und werden an über 20.000 infizierte WordPress-Seiten gesendet. Diese Seiten führen ein Angriffsskript aus, das gezielte WordPress-Seiten angreift. Das folgende Diagramm veranschaulicht die Angriffskette.

Kontrollstruktur des Botnet
(Quelle: Wordfence)

Die Skripte zielen auf die XML-RPC-Schnittstelle von WordPress-Sites ab, um Benutzername/Passwortpaare zu testen und die Benutzer-Agent Zeichenkette jeder Anfrage zufällig zu manipulieren. Die für diese Brut-Force-Angriffe verwendeten Wortlisten enthalten kleine Sätze von sehr gebräuchlichen Passwörtern. Das Skript enthält jedoch Funktionen zur dynamischen Generierung geeigneter Passwörter auf der Grundlage gängiger Muster. Einige Beispiele für diese Muster sind:

  • %domainPattern%
  • %userName%
  • %userName%1
  • %userName%123
  • %userName%2018
  • %userName%2017
  • %userName%2016

Problem ist, dass ein Angreifer über die XML-RPC-Schnittstelle von WordPress früher eine große Anzahl von Benutzer/Passwort-Paaren in einer einzigen Anfrage senden kann. WordPress würde jedes Paar testen und eine Liste von Erfolgen und Misserfolgen zurückgeben. Dieses Verhalten erleichterte Brute-Force-Angriffe. Allerdings gab es mit WordPress 4.4 einen Patch, der diese Ansatz entschärft. Schlägt ein XML-RPC-Request bei einer Seite fehl, werden auch alle anderen Werte der gleichen Anfrage verworfen.

Laut Wordfence werden einige der Control-Server, die für die Steuerung des Botnetzes verwendet werden, vom Anbieter HostSailor in Rumänien und in den Niederlanden betrieben. Details sind in im Wordfence-Beitrag nachlesbar.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.