Een groot WordPress botnet is momenteel aanvallen andere blogs aangedreven door het platform. Het is bijzonder verontrustend omdat het al een groot aantal geworven slachtoffers heeft opgedaan. Wat we tot nu toe weten is dat het netwerk getunneld via een Russische proxy service provider, er mogelijk op wijst dat de hackers van Russische afkomst zou kunnen zijn.
De WordPress Botnet zijn na uw blog
Een nieuwe WordPress botnet is nu aanvallen blogs aangedreven door de populaire platform in een poging om neer te halen zo veel mogelijk. Wat we tot nu toe weten is dat het in staat om een groot aantal geworven machines te krijgen is geweest. Zoals de omvang groeit met elke geïnfecteerde blog verwachten we dat het een zeer krachtig wapen voor andere misdaden ook zou kunnen worden. De beveiliging rapport onthult dat het gebruik maakt van een geavanceerde infectie algoritme, Mogelijkerwijs is het product van een zorgvuldige planning.
Een analyse de manier waarop het slachtoffer plaatsen worden aangetast blijkt dat gebruikswijze is het brute aanval. De aanvallen van hackers worden gedaan tegen de XML-RPC-interface die wordt gebruikt om te verifiëren bij de blogs. Met het oog op de verzoeken meer geloofwaardig om het systeem verschillende user agents te worden gebruikt tijdens de toegang pogingen: iPhone en Android-apparaten. Tot dusver heeft de statistieken blijkt dat over 20,000 WordPress slave sites zijn momenteel deel uit van het botnet. Het wachtwoord sets die worden gebruikt om toegang te krijgen tot de geïnfecteerde systemen zijn niet alleen vaak voor en zwakke referenties, maar ook gebruikelijke patronen. Met behulp van een multicall aanpak de WordPress botnet is in staat om de toegang tot vele systemen te krijgen tegen een veel sneller tempo dan de traditionele inbraakpogingen.
Een kenmerk van deze dreiging is de attack complex chain. De inbraakpogingen vinden plaats via de gerekruteerd botnet slave gastheren en geen back-end-servers die worden beheerd door het schadelijke actoren. De instructies voor het offensief wordt verstuurd via een netwerk van proxy servers waardoor het zeer moeilijk om de oorspronkelijke bron van de aanvallen te volgen. De proxy-servers worden uitgevoerd vanaf een Russische provider die mogelijk aangeeft dat de kwaadaardige operators kunnen zijn uit Rusland.
Vier afzonderlijke command and control servers werden geïdentificeerd waaruit blijkt dat de geïnfecteerde hosts ook kan worden bediend vanuit verschillende collectieven. Een van de hypotheses achter haar activiteiten en werkingsmodi is dat het kan worden verhuurd aan andere hackers via de ondergrondse markten.
Zoals de WordPress botnet is nog steeds actief zijn belangrijk voor de beheerders om de nodige voorzorgen te nemen om hun sites te beschermen. De top drie van de veiligheid tips in deze situatie zijn de volgende:
- Implementeer beperkingen en tijdelijke uitsluitingen fo mislukte inlogpogingen.
- Monitor toegang logs en kijk uit voor elk verdacht gedrag of het verkeer.
- Zorg dat er een sterke gebruikersnaam en wachtwoord combinatie samen met CAPTCHA worden ingevoerd voor alle WordPress accounts.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: