1. Home
  2. >
  3. Notícias da Deflect Labs
  4. >
  5. Notícias da Deflect Labs: Botnet que ataca sites do WordPress
Categorias
DDoS Deflect Labs Desviar Notícias da Deflect Labs

Notícias da Deflect Labs: Botnet que ataca sites do WordPress

Principais conclusões

  • Identificamos tráfego proveniente de milhares de endereços IP tentando realizar ataques de força bruta contra sites do WordPress protegidos pelo Deflect, utilizando o mesmo user-agent (Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0) desde setembro de 2017
  • Confirmamos que ele não estava visando apenas sites protegidos pelo Deflect, mas também um grande número de sites na Internet
  • Nesta postagem do blog, analisamos os endereços IP de origem dessa botnet, que, em sua maioria, provêm de endereços IP localizados na China.

Introdução

Em agosto de 2018, identificamos várias tentativas de ataques de força bruta contra sites do WordPress protegidos pelo Deflect. Todos esses ataques utilizavam o mesmo user-agent: Firefox versão 52 no Windows 7 (Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0). Ao rastrear ataques semelhantes com esse user-agent, descobrimos um grande número de endereços IP envolvidos nesses ataques a mais de cem sites protegidos pelo Deflect desde setembro de 2017.

Apresentação de um ataque

Um exemplo de ataque proveniente dessa botnet pode ser encontrado no tráfego que observamos em um site protegido pelo Deflect no dia 24 de maio, com o agente de usuário `Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0`:

Inicialmente, um endereço IP, 125.65.109.XXX (AS38283 – CHINANET), enumerou a lista de autores do site do WordPress:

Em seguida, foram utilizados 168 endereços IP diferentes para tentar adivinhar a senha por força bruta, por meio de consultas POST à página /wp-login.php:

Segmentação além dos usuários do Deflect

A extensa lista de alvos da botnet rapidamente nos levou a concluir que não se tratava de uma operação política ou de um ataque direcionado, mas sim de uma tentativa de comprometer qualquer site disponível na Internet. Para confirmar nossa hipótese, decidimos compartilhar indicadores desses ataques com grupos de inteligência de ameaças, bem como com aplataforma GreyNoise, para verificar se os honeypots estavam sendo alvo dos ataques.

Informações compartilhadas sobre ameaças

Compartilhamos indicadores dos ataques com outros membros de um Centro de Compartilhamento e Análise de Informações (ISAC) do qual fazemos parte. Dois membros confirmaram ter observado os mesmos ataques em seus sites profissionais e pessoais. Um dos membros concordou em compartilhar registros e endereços IP conosco, o que confirmou o mesmo tipo de ataque com o mesmo user-agent.

Utilização dos dados do GreyNoise

Utilizamos tanto o acesso aberto quanto o corporativo daplataforma GreyNoisepara coletar mais dados sobre essa botnet. A GreyNoise é uma plataforma de inteligência contra ameaças que se concentra em identificar o “ruído” de ataques online por meio de uma ampla rede de honeypots, a fim de diferenciar ataques direcionados dos não direcionados. (Conseguimos acesso à plataforma empresarial depois que um membro da eQualit.ie contribuiu para o desenvolvimento de ferramentas para a plataforma GreyNoise). A GreyNoise funciona coletando informações sobre endereços IP que estão fazendo varreduras em qualquer honeypot da GreyNoise e marcando-os com base no tipo de varredura identificado. Podemos ver rapidamente novisualizadordoGreyNoiseque muitos endereços IP são identificados como WORDPRESS_WORM:

Enumeramos a lista de endereços IP classificados como WORDPRESS_WORM e, em seguida, consultamos informações detalhadas sobre cada um deles, a fim de identificar aquele que utilizava a característica de user-agent do Firefox 52, típica dessa botnet. Identificamos 725 endereços IP diferentes nesse conjunto de dados entre os últimos 5.000 scanners do WordPress disponíveis por meio da API Enterprise.

Essas duas informações confirmam que essa botnet está atacando sites muito além daqueles que protegemos com o Deflect.

Análise do tráfego para o Deflect

Identificamos a primeira consulta proveniente dessa botnet nos sites do Deflect em 27 de setembro de 2017. Representamos graficamente o número de solicitações feitas por essa botnet à página /wp-login.php ao longo do tempo:

Ao analisarmos mais detalhadamente a distribuição do número de solicitações por endereço IP, percebemos que um pequeno número de endereços IP está gerando um grande número de solicitações:

Análise da botnet

Identificamos 3.148 endereços IP únicos pertencentes a essa botnet a partir das seguintes fontes:

  • A campanha 3011 tem como alvo sites protegidos pelo Deflect desde setembro de 2017
  • 725 identificado pelo GreyNoise como WordPress
  • 7, segundo relatos compartilhados por pessoas de diferentes comunidades

Ao verificar os Sistemas Autônomos (AS) de origem, podemos observar que 39% dos endereços IP provêm dos AS 4134 (backbone da Chinanet) e 4837 (China169):

  • 872 ASN4134 CHINANET-BACKBONE, nº 31, Rua Jin-rong, CN
  • 342 ASN4837 CHINA169-BACKBONE CHINA UNICOM China169 Backbone, CN
  • 93 ASN9808 CMNET-GD Guangdong Mobile Communication Co.Ltd., CN
  • 87 ASN18881 TELEFÔNICA BRASIL S.A., BR
  • 86 ASN8452 TE-AS TE-AS, EG
  • 82 ASN9498 BBIL-AP BHARTI Airtel Ltd., IN
  • 50 ASN17974 TELKOMNET-AS2-AP PT Telekomunikasi Indonesia, ID
  • 48 ASN3462 Grupo de Negócios de Comunicação de Dados da HINET, TW
  • 47 ASN4766 KIXS-AS-KR Korea Telecom, KR
  • 40 ASN24445 CMNET-V4HENAN-AS-AP Henan Mobile Communications Co., Ltd., CN

Se analisarmos os países de origem desses endereços IP, percebemos que 53% deles estão localizados na China:

  • 1654 China
  • 171 Brasil
  • 168 Índia
  • 102 Rússia
  • 94 Indonésia
  • 87 Egito
  • 82 República da Coreia
  • 65 Estados Unidos
  • 62 Taiwan
  • 43 Vietnã

Consultamos o ipinfo.io para saber a que tipo de Sistemas Autônomos esses endereços IP pertencem:

  • 2743: Provedores de serviços de Internet
  • 271: Negócios
  • 132: Hospedagem
  • 2: Desconhecido

Nossas descobertas mostram que a grande maioria desses sistemas provém de redes que fornecem acesso à Internet às pessoas por meio de smartphones, computadores ou outros dispositivos inusitados da Internet das Coisas.

Para identificar o sistema operacional desses bots, utilizamos outro recurso interessante do GreyNoise, que é a identificação do sistema operacional na origem dessas solicitações por meio de técnicas passivas de fingerprinting (utilizandoassinaturas p0f). Ao consultar todos os endereços IP dessa botnet no GreyNoise e filtrar aqueles que utilizavam o agente de usuário do Firefox 52, verificamos quais sistemas operacionais esses endereços IP utilizavam (1.370 endereços IP da nossa lista foram identificados no GreyNoise com o agente de usuário do Firefox 52):

  • 662 desconhecido
  • 238 Linux 2.6
  • 209 Linux 2.4.x
  • 88 Linux 3.1-3.10
  • 63 Linux 2.4-2.6
  • 51 Linux 2.2-3.x
  • 17 Linux 3.11+
  • 12 Linux 2.2.x-3.x (embutido)
  • 9 Linux 3.x
  • 8 Mac OS X 10.x
  • 6 Windows 7/8
  • 4 FreeBSD
  • 1 Linux 2.0
  • 1 Windows 2000
  • 1 Windows XP

Vemos aqui que 50% desses endereços IP são identificados como sistemas Linux, em sua maioria com kernels antigos do Linux (2.4 ou 2.6). Nossa conclusão é que essa botnet é composta principalmente por roteadores comprometidos, dispositivos da Internet das Coisas ou smartphones Android (o Android utiliza o kernel do Linux).

Outro fato interessante revelado pelos dados do GreyNoise é que, entre esses endereços IP, 2.105 também foram identificados em outros tipos de varreduras, principalmente relacionadas às seguintes atividades suspeitas:

  • WEB_SCANNER_LOW: 1404,
  • SSH_SCANNER_LOW: 1037
  • SSH_WORM_LOW: 950
  • WEB_CRAWLER: 705
  • TELNET_SCANNER_LOW: 117
  • TELNET_WORM_HIGH: 80
  • SSH_WORM_HIGH: 77
  • HTTP_ALT_SCANNER_LOW: 52
  • SMB_SCANNER_LOW: 44
  • SSH_SCANNER_HIGH: 33

Utilizamos esses dados para mapear a atividade identificada pelo GreyNoise ao longo do tempo, primeiro apenas para o tráfego de ataques de força bruta no WordPress e, em seguida, para qualquer atividade suspeita:

Podemos observar que essa botnet não é usada apenas para atacar o WordPress, nem que a maioria desses dispositivos esteja comprometida por mais de um malware.

Impacto na deflexão

Não identificamos nenhum impacto dessa botnet nos sites protegidos pelo Deflect. A primeira razão é que qualquer tráfego intenso que ultrapasse o limite definido em nossas regras do Banjax bloquearia automaticamente o endereço IP por algum tempo. Grande parte do tráfego proveniente dessa botnet foi, de fato, bloqueada automaticamente pelo Deflect.

A segunda razão é que a maioria dos sites que utilizam o Deflect emprega a proteção da página de administração do Banjax, que exige uma senha compartilhada adicional para acessar as seções de administração de um site (no caso do WordPress, /wp-admin/)

Proteção contra ataques de força bruta

A documentação do WordPressdescreve várias maneiras de proteger seu site contra esses ataques de força bruta. A primeira delas é usar uma senha forte, de preferência uma frase-senha capaz de resistiraos ataques de dicionário, que são os mais comuns.

Existem também muitos plugins do WordPress que permitem bloquear um endereço IP após várias tentativas malsucedidas, comoo Brute Force Login Protection,o Ninja Firewallouo SiteGuard(veja a lista completa de extensõesaqui).

Também é possível adicionar uma senha extra (um pouco como o Banjax faz) à área de administração do seu site usando a autenticação HTTP. Consulte adocumentação do WordPress para obter mais informações. (Se você escolher essa opção, recomenda-se instalar uma ferramenta que impeça ataques de força bruta via HTTP, comoo fail2ban).

Para hospedagem profissional do WordPress, uma medida eficaz contra esses ataques é separar o código PHP ativo do WordPress do código renderizado, hospedando a parte administrativa do site em um domínio diferente (por exemplo, usandoo django-wordpress). Pretendemos implementar essa estratégia em nossa própria hospedagem do WordPress nos próximos meses.

Conclusão

Nesta postagem do blog, descrevemos uma botnet que tem como alvo sites do WordPress em todo o mundo. O número de dispositivos envolvidos no ataque é bastante grande (mais de 3.000), o que demonstra que se trata de uma atividade bem organizada. Não temos informações sobre o malware usado para comprometer esses dispositivos nem sobre o objetivo desse grupo. Estamos definitivamente interessados em entrar em contato com qualquer pessoa que tenha mais informações sobre esse grupo ou interesse em dar continuidade a essa investigação. Entre em contato conosco peloe-mail outreach AT equalit.ie.

Apêndice

Agradecimentos

Gostaríamos de agradecer aos membros da ONG ISAC, ao ipinfo.io e à equipe do Greynoise.io pelo apoio.

Indicadores de comprometimento

Você pode observar os seguintes indicadores no seu tráfego:

  • User-Agent:Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
  • url:POST /wp-login.phpeGET /?author=1(testando autores entre 1 e 60)

Não temos informações sobre as ações tomadas após o comprometimento.

Assim como em nosso último relatório, não podemos divulgar os endereços IP públicos utilizados por essa botnet, pois provavelmente se trata de sistemas comprometidos e não podemos controlar os possíveis efeitos colaterais decorrentes do compartilhamento desses endereços IP com os proprietários desses sistemas. Estamos abertos a compartilhá-los de forma privada. Estamos cientes dos desafios envolvidos no compartilhamento de inteligência sobre ameaças de DDoS e também temos interesse em iniciar uma discussão sobre esse tema. Entre em contato conosco pelo e-mailoutreach AT equalit.ie.