Zlonamjerni softver Sign1 napada WordPress

AUTOR ·

Zlonamjerni softver Sign1 je vrsta zlonamjernog softvera koji cilja WordPress lokacije putem zlonamjernih JavaScript injekcija, posebno u prilagođene HTML grafičke objekte (eng. widget) i legitimne dodatke. Izbjegava otkrivanje koristeći dinamičke URL adrese koje se mijenjaju svakih 10 minuta i XOR kodiranje da bi prikrilo svoj kôd.

Sign1

Zlonamjerni softver Sign1 napada WordPress; Source: Bing Image Creator

SIGN1 ZLONAMJERNI SOFTVER

Sign1 je zlonamjerni softver koji izaziva neželjena preusmjeravanja i iskačuće oglase za posjetioce. Zlonamjerni akteri ubrizgavaju zlonamjerni softver u prilagođene HTML grafičke objekte i legitimne dodatke na WordPress lokacijama umjesto da mijenjaju stvarne datoteke. Tačan način kompromisa za većinu otkrivenih lokacija je nepoznat, ali je jedna lokacija kompromitovana korištenjem napada grube sile (eng. brute force attack). Otkrivena kampanja je kompromitovala preko 39.000 WordPress lokacija u posljednjih šest mjeseci prema izvještajima kompanija Sucuri i GoDaddy Infosec, a u posljednja dva mjeseca preko 2.500 internet lokacija.

 

Funkcionisanje

Sign1 zlonamjerni softver prvenstveno cilja na WordPress lokacije kroz kombinaciju napada grubom silom i iskorišćavanja ranjivosti u dodacima. Napadi grube sile su automatizovani metod koji koriste zlonamjerni akteri da bi dobili neovlašteni pristup korisničkim nalozima. Oni koriste različite tehnike, kao što su napadi rječnikom ili duginim tabelama, da pogode akreditive za prijavu.

S druge strane, ranjivosti dodataka nude ciljani pristup za napadače. Sign1 posebno traži slabosti u dodacima kao što su Simple Custom CSS i JS, koji se mogu iskoristiti za ubacivanje zlonamjernih skripti na internet lokacije. Kada se dobije ulazna tačka, Sign1 zlonamjerni softver počinje svoje operacije na ugroženoj lokaciji.

Za razliku od mnogih drugih kampanja zlonamjernog softvera koje direktno ciljaju osnovne WordPress datoteke, Sign1 zlonamjerni softver ubacuje svoj kôd u prilagođene HTML grafičke objekte ili legitimne dodatke. Ovaj metod čini otkrivanje i uklanjanje izazovnim, jer se ove oblasti često zanemaruju od strane konvencionalnih bezbjednosnih alata. Ubačene skripte ostaju neaktivne sve dok posjetilac ne stigne na internet lokaciju.

Da bi izbjegao otkrivanje, Sign1 zlonamjerni softver koristi dinamičke URL adrese koje se mijenjaju svakih 10 minuta. Ova taktika osigurava da se lokacija zlonamjernog softvera stalno mijenja, što otežava bezbjednosnim alatima da pronađu njegovo poreklo. Pored toga, sam kôd prolazi kroz XOR kodiranje, tehniku koja se koristi da se prikrije i zamaskira stvarni sadržaj skripte. Ove mjere čine ovaj zlonamjerni softver neuhvatljivom prijetnjom, omogućavajući mu da ostane neotkriven od strane konvencionalnih bezbjednosnih alata tokom dužeg perioda.

 

“Sign1 je zlonamjerni softver koji cilja WordPress lokacije putem zlonamjernih JavaScript injekcija, što čini otkrivanje i uklanjanje izazovnijim zbog upotrebe dinamičkih URL-ova i XOR kodiranja.”

Mike Smith, Incident Response & Threat Intelligence Manager

 

Jedna jedinstvena karakteristika Sign1 zlonamjernog softvera je njegova selektivnost u aktiviranju samo kada posjetilac dolazi sa velikih internet lokacija kao što su Google, Facebook, Yahoo ili Instagram. Ovaj ciljani pristup osigurava da su aktivnosti zlonamjernog softvera fokusirane na lokacije sa velikim prometom gdje može da poveća svoj uticaj i potencijalni prihod.

Kada se aktiviraju skripte, posjetioci internet lokacije su bombardovani neželjenim preusmjeravanjem i iskačućim oglasima. Ovi nametljivi elementi predstavljaju značajne bezbjednosne rizike, jer mogu dovesti do daljih infekcija ili krađe podataka. Štaviše, zlonamjerni kôd takođe može da ubaci neželjena obavještenja pregledača koja razbacuju oglase na radne površine korisnika.

Zlonamjerni softver Sign1 traži određene uslove za izvršenje:

  • Tačano preusmjeravanje,
  • Navedeni kolačić još nije prisutan u pregledači,
  • Ispravan heksadecimalni niz sa imenom JavaScript datoteka (podudaranje u intervalu od 10 minuta).

 

Ako u navedeni uslovi ispunjeni, zlonamjerni softver ubacuje drugu skriptu sa https://tags.stickloader[. ]info/mi/ pack.js. Ova skripta djeluje kao sistem distribucije saobraćaja  (eng. traffic distribution system – TDS) i preusmjerava korisnike na zlonamjerne lokacije, obično VexTrio lokacije za prevare. Do otkrića zlonamjernog softvera Sign1 došlo je kada je internet lokacija klijenta posjetiocima prikazala iskačuće oglase, što je kompaniju Sucuri navelo da istraži i otkrije kampanju.

 

ZAKLJUČAK

Sign1 je sofisticirana kampanja zlonamjernog softvera koja cilja WordPress lokacije preko prilagođenih HTML grafičkih objekata ili legitimnih dodataka dok izbjegava otkrivanje pomoću dinamičkih URL adresa i XOR kodiranja. Njegova selektivna aktivacija na internet lokacijama sa velikim saobraćajem obezbjeđuje maksimalan uticaj za zlonamjerne aktere. Razumijevanjem njegovih operativnih mehanizama, administratori internet lokacija mogu preduzeti proaktivne korake da obezbijede svoje WordPress instalacije od ove neuhvatljive prijetnje.

 

ZAŠTITA

Da bi korisnici efikasno zaštitili WordPress lokacije od zlonamjernog softvera Sign1, ključno je primijetiti nekoliko preventivnih mjera na osnovu konteksta datog u tekstu. Evo nekoliko preporučenih strategija:

  • Koristiti složene i jedinstvene lozinke za administratorske naloge za odupiranje napadima grube sile. Zlonamjerni softver Sign1 potencijalno može da iskoristi slabe ili lozinke koje je kako pogoditi, tako da je od suštinskog značaja da se kreiraju jake lozinke koje je teško razbiti. Dobra praksa bi bila upotreba kombinacije velikih slova, malih slova, brojeva i simbola u lozinkama. Pored toga, potrebno je razmislit o primijeni autentifikaciju u dva koraka za dodatni nivo bezbjednosti,
  • Održavati WordPress instalaciju, zajedno sa svim dodacima i temama, ažuriranim da bi se zatvorile ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je Sign1. Analize sugerišu da zlonamjerni softver postaje otporniji i pokazuje povećane mogućnosti prikrivenosti sa svakim ažuriranjem nove verzije. Održavanjem svoje internet lokacije ažurnom, može se osigurati da su svi poznati bezbjednosni problemi ispravljeni, umanjujući rizik od uspješnog napada,
  • Ograničiti broj dodataka i tema na one koje su apsolutno neophodne, smanjujući potencijalne ulazne tačke za napadače. Nepotrebni dodaci mogu povećati površinu napada internet lokacije, dok se korištenjem samo osnovnih dodataka i tema, minimizira rizik od unošenja ranjivosti na internet lokaciju,
  • Implementacija bezbjednosnih dodataka i usluga nadgledanja koje mogu da otkriju neobične aktivnosti ili prisustvo zlonamjernog softvera na internet lokaciji. Primjena ovih alata može omogućiti identifikaciju sumnjivog ponašanja ili potencijalnog napada pre nego što se prouzrokuje šteta. Neki popularni WordPress sigurnosni dodaci uključuju Wordfence, Sucuri Security i iThemes Security,
  • Razmisliti o korištenju zaštitnog zida za internet aplikacije (eng. web application firewall – WAF) kao što je Cloudflare ili Incapsula za dodatni sloj zaštite od zlonamjernog saobraćaja. Ove usluge mogu pomoći u blokiranju poznatih vektora napada i obezbijediti dodatne bezbjednosne funkcije kao što su ograničavanje brzine, IP blokiranje i SSL šifrovanje,
  • Koristiti pouzdano rješenje za pravljenje rezervnih kopija kako bi se smanjili uticaji bilo kakvih potencijalnih napada ili gubitka podataka. Redovno pravljenje rezervnih kopija je od suštinskog značaja za održavanje kontinuiteta poslovanja i oporavak od bilo kakvih bezbjednosnih incidenata. Razmislite o korištenju dodataka kao što su UpdraftPlus, VaultPress ili Jetpack Backup kako bi se proces pravljenja rezervnih kopija automatizovao,
  • Koristiti mrežu za isporuku sadržaja (eng. Content Delivery Network – CDN) što može pomoći u distribuciji sadržaja na više servera širom sveta, smanjujući opterećenje korisničkog servera i poboljšavajući performanse internet lokacije. Pored toga, neke mreže za isporuku sadržaja nude bezbjednosne funkcije kao što su DDoS zaštita, skeniranje zlonamjernog softvera i pravila zaštitnog zida kako bi se poboljšala ukupna bezbjednosna pozicija internet lokacije,
  • Uspostaviti jasne smjernice za pristup korisnika, upravljanje lozinkama, ažuriranja softvera i druge aspekte upravljanja WordPress lokacijom u vezi sa bezbjednošću. Ova politika treba da bude saopštena svim korisnicima koji imaju pristup lokaciji i da se redovno pregleda i ažurira po potrebi,
  • Uvjeriti se da datoteke na internet lokaciji imaju odgovarajuće dozvole za datoteke kako bi se spremile neovlaštene izmjene ili brisanja. Obavezno slediti princip najmanje privilegija, gdje svaki korisnik ima samo potreban nivo pristupa koji je potreban za njegovu ulogu,
  • Ako nije potreban, razmislite o onemogućavanju XML-RPC protokola na WordPress lokaciji, jer može biti potencijalna ulazna tačka za napadače. Ovu funkciju koriste različite aplikacije za daljinsku interakciju sa WordPress lokacijama, ali takođe predstavlja bezbjednosni rizik ako nije pravilno obezbijeđena ili onemogućena kada se ne koristi,
  • Koristiti bezbjedne veze protokola za prenos datoteka (eng. File Transfer Protocol – FTP), kao što su SFTP ili FTPS, umjesto nešifrovanog standardnog FTP protokola za prenos datoteka između lokalnog uređaja i internet servera. Ovo će pomoći u zaštiti podataka koji se prenose tokom prenosa datoteka od presretanja od strane napadača.

 

Primjenom ovih strategija korisnici mogu značajno smanjiti rizik od infekcije Sign1 zlonamjernim softverom na WordPress lokaciji i održati bezbjedno prisustvo na mreži za preduzeće ili organizaciju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.