مهاجمین پس از حمله به بیش از ۲۰هزار وبسایت وردپرس از وبسایتهای آلوده برای حمله به دیگر وبسایتهای وردپرس استفاده میکنند. شرکتی که افزونهی Wordfence را مدیریت و منتشر میکند (این افزونه دیواره آتشی برای وبسایتهای وردپرس است)، میگوید«این افزونه در یک ماه گذشته از سمت وبسایتهای آلودهشده، بیش از ۵ میلیون تلاش ورود به وبسایتهای دیگر را شناسایی کرده است.»
کارشناسان امنیت به این نوع از حملات، حملات مبتنی بر دیکشنری میگویند. این حملات درواقع تلاشهای ورود پیدرپی هستند، که درطی آن هکرها برای دسترسی به یک حساب کاربری، ترکیباتی از نام کاربری و رمز عبور را بر روی وبسایت هدف آزمایش میکنند.
محققان شرکت Defiant کشف کردند که قسمت بالای سر این باتنت همانند ابزار Hydra عمل میکند و از چهار سرور Command and Control تشکیلشده است و از طریق وبسایتهای آلودهشده به وبسایتهای دیگر حمله میکند.
سرورهای این باتنت دستورالعمل حملات خود را از طریق شبکهای با بیش از ۱۴هزار پروکسی سرور (که از بهترین سرویسدهندههای پروکسی اجارهشده است) ارسال میکند، که این اطلاعات در اسکریپتهای وبسایتهای آلودهشده منتقل میشود. این اسکریپتها فهرستی از اهداف را از سرورهای Command andControl دریافت کرده و میخوانند. همچنین فهرستی از کلمات عبور را بر اساس فهرستی از الگوهای کلمات عبور از پیش تعریفشده جمعآوری میکنند و سپس سعی میکنند از کلمات عبور جدید ایجادشده، برای ورود بهحساب کاربری Admin وبسایتهای دیگر استفاده کنند.
بهعنوانمثال اگر اسکریپت Brute Force بخواهد تلاشی برای ورود به وبسایت Example.com با نام کاربری alice انجام دهد، کلمات عبوری مانند alice1 ،alice2018 را تولید میکند. در این گزارش توضیح دادهشده است، که هرچند این تکنیک برای هر یک از وبسایتهای هدف جوابگو نیست ولی برای تعداد اهداف بسیار زیاد، میتواند بسیار مؤثر باشد.
در حالت معمولی چون مهاجمان از شبکهای باتعداد زیادی پروکسی استفاده میکنند، محل این سرورهای Command and Control پنهان میماند و محققان نمیتوانند تمامی فعالیت باتنت را پیگیری کنند. خوشبختانه شرکت Defiant میگوید کسانی که پشت ایجاد این باتنت بودند، برخی اشتباهات در ساختار اسکریپتهای Brute Force انجام دادهاند که به محققان اجازه داد تا زیرساخت کامل باتنت را افشا کنند.
خوشبختانه اشتباهات در اسکریپتهای Brute Force متوقف نشد واپراتورهای باتنت در پیادهسازی مکانیسم احراز هویت برای پنل مدیریتی خود نیزاشتباه کردند. شرکت Defiant میگوید محققان آنها توانستند از سیستم ورود به پنل مدیریتی باتنت عبور کنند و زیرچشمی عملکرد مجرمان را زیر نظر بگیرند.
چهکار کنیم؟
این باتنت حملات خود را برای صفحه ورود به پنل وردپرس به کار نمیبرد، و در عوض به مکانیسم احراز هویت XML-RPC مربوط به WordPress حمله میکند؛ به همین دلیل تغییر دادن URL پنل مدیریتی وبسایت کمکی به جلوگیری از این باتنت نمیکند.
شرکت Defiant توصیه میکند که صاحبان وبسایتهای وردپرس از یک افزونه امنیتی برای جلوگیری و مقابله با حملات مبتنی بر دیکشنری و Brute Force بر روی سرویس XML-RPC استفاده کنند.
خوشبختانه، درسالهای اخیر حملات بر روی مکانیسم احراز هویت XML-RPC در حال کاهش است و هر دیواره آتش وردپرس باید بتواند این حملات را مسدود کند.
مطالب مرتبط:
مراحل امن سازی وبسایت های مبتنی بر وردپرس
رفع آسیبپذیری بحرانی پلاگین معروف WooCommerce وردپرس – ویدیو
منبع: ZDNet
