L’une des nombreuses astuces de la boîte à outils du cybercriminel moderne consiste à utiliser des sites Web compromis pour échapper aux filtres anti-spam et aux systèmes de réputation de domaine. Qu’il s’agisse de cacher un exploit basé sur le Web ou simplement d’exploiter gratuitement la réputation de domaines par ailleurs légitimes, l’utilisation d’un nom de domaine existant présente de nombreux avantages, et cela ne tient même pas compte du fait que voler le domaine de quelqu’un d’autre est moins cher que d’en acheter un . Dans cet article, nous examinerons au-delà de l’URL d’un site Web WordPress compromis pour donner un aperçu de ce qui se passe une fois qu’un site Web a été compromis.

Pourquoi WordPress ?

Pourquoi WordPress ?
© malwarebytes.com

De nombreux sites compromis semblent fonctionner sur WordPress. Cela signifie-t-il que WordPress est un mauvais choix pour un système de gestion de contenu (CMS) ? Non, WordPress lui-même s’est considérablement amélioré au fil des ans et est par défaut, prêt à l’emploi, un choix solide et sûr pour de nombreux sites Web. Ceci est confirmé par le fait que les chiffres montrent désormais plus de 40 % de tous les sites Web du monde entier. Lire aussi : Répondre aux demandes des étudiants, le séminaire doit renommer la chapelle. monde qui exécutent WordPress. Cette grande part de marché signifie que les objectifs sont nombreux. Puisque ces buts se comportent de manière uniforme, il est intéressant de développer des outils pour les saper.

Il est important de noter que ce n’est pas seulement WordPress lui-même qui est visé. De nombreux problèmes sont en fait causés par des plugins obsolètes ou des plugins qui sont déjà des portes dérobées au moment de l’installation. Ce dernier arrive surtout avec les versions piratées des plugins payants. En enquêtant sur ce sous-ensemble particulier de sites Web piratés, nous avons constaté que plus de la moitié d’entre eux utilisaient la dernière version stable de WordPress au moment de l’enquête. Puisqu’ils étaient toujours compromis, cela signifie presque certainement que les sites ont été compromis via un plug-in, ou que les attaquants ont réussi à maintenir la persistance sur les sites Web ciblés – l’exploit réel a été fait dans le passé, mais les fichiers placés par les attaquants ont survécu les mises à jour.

Top 10 des versions de WordPress vues sur les sites Web piratés

A lire sur le même sujet

De l’exploit à la plateforme

De l'exploit à la plateforme
© linuxhint.com

Finalement, cette chaîne d’outils fait partie d’un système plus vaste, généralement appelé par les malfaiteurs TDS : Traffic Distribution System. Ce système gère les sites compromis, reçoit les visites des visiteurs sans méfiance et leur propose ensuite un contenu basé sur des paramètres préétablis tels que le pays d’origine, le type de navigateur et le système d’exploitation. Voir l'article : Le dernier spin-off de Riot sur League of Legends arrive sur Netflix Games en exclusivité mobile. La plupart des systèmes TDS sont un bon exemple de la façon dont la facilitation de la cybercriminalité s’est transformée en modèle « en tant que service »: le groupe qui gère le TDS vend des capacités sur la plate-forme à d’autres cybercriminels pour présenter leur contenu à n’importe quel groupe démographique qu’ils souhaitent cibler. Certains visiteurs peuvent être redirigés vers un site Web de casino, tandis que d’autres peuvent recevoir un plug-in de navigateur malveillant.

Spamhaus détecte les sites Web compromis utilisés directement dans le spam ou dans le cadre d’une chaîne de redirection et ajoute des noms d’hôte à nos ensembles de données pour protéger nos utilisateurs. En conséquence, les propriétaires de sites Web découvrent qu’ils ont un problème, et c’est là que commence souvent la partie la plus difficile, car bon nombre de ces utilisateurs de WordPress n’ont pas les compétences nécessaires pour découvrir ce qui ne va pas et comment y remédier.

Cachez – et restez caché

Sans surprise, les commerçants qui compromettent ces sites Web ne facilitent pas la résolution du compromis. Sur le même sujet : L’usine Samsung appelle à une éventuelle extension du service d’incendie de Taylor. L’un des multiples groupes que nous suivons impliqués dans la compromission massive de sites Web WordPress utilise quelques stratégies pour garder les propriétaires de sites Web dans l’ignorance :

Noms de fichiers trompeurs

Initialement, lorsque le groupe profite d’un site Web WordPress, il publie 5 à 10 fichiers PHP d’apparence inoffensive, avec des noms tels que genericerror. Ceci pourrait vous intéresser : Microsoft devrait vendre Office et Windows pour augmenter ses activités dans le cloud, selon l’ancien dirigeant.php, email_friend.php ou weblog_rss.php. Les fichiers sont nommés de cette manière pour éviter d’éveiller les soupçons au cas où le webmaster déciderait de fouiller dans son système de fichiers.

Obfuscation du code source

Si un administrateur curieux décide de regarder de plus près ces fichiers, il ne trouvera pas beaucoup de code lisible (ce qui en soi est une cause d’alarme !), car les fichiers supprimés via l’exploit sont obscurcis : & # xD ; Lire aussi : Tesla (TSLA) Solar Power, Battery Storage Mark 2022 Test énergétique par Elon Musk.

Comportement du proxy inverse

& # xD;

L’une des approches intéressantes dans ce cas particulier est que les fichiers placés sur l’instance WordPress compromise ne sont en fait que des proxys inverses – ils canalisent le trafic reçu vers l’emplacement distant préconfiguré (et obscurci) où réside le contenu réel. Cela signifie non seulement que le visiteur n’est pas redirigé, mais cela signifie que les attaquants ont un contrôle total sur quel contenu est servi à quel visiteur ! En combinaison avec ce proxy, une série de variables sont également envoyées au backend qui peuvent être utilisées pour segmenter le trafic des visiteurs, afin que plusieurs campagnes puissent être exécutées simultanément à partir des mêmes fichiers. A voir aussi : Nouveau sur Netflix et Top 10 : 3 février 2022. Parmi ces variables figurent :

Persistance sur le site piraté

& # xD;

L’échelle des choses

ip (r) (x) (f) – L’adresse IP de connexion en différentes saveurs – Le domaine et l’URL complète du fileref saisi – Le référent HTTP headerprox – L’IP de connexion agit comme un agent proxy ? – L’agent utilisateur stringlang – Langue préférée du navigateur Ceci pourrait vous intéresser : Aperçu des résultats d’Apple au premier trimestre : la pénurie de la chaîne d’approvisionnement atteindra les ventes et les bénéfices.

La caractéristique la plus intéressante de cette TDS particulière est peut-être qu’elle peut être mise à jour à distance par les opérateurs. En appelant le script d’une manière spécifique et en fournissant une clé dans une variable HTTP, il peut s’écraser et ainsi mettre à jour tout son code, y compris l’emplacement distant où le contenu est servi. En pratique, cela signifie que même si la vulnérabilité du site ou du plugin d’origine a été corrigée, les fichiers supprimés peuvent toujours être gérés et utilisés jusqu’à ce qu’ils soient supprimés par le propriétaire du site. De plus, une obfuscation légèrement différente peut être utilisée avec chaque mise à jour pour rendre plus difficile la recherche automatique de fichiers comme ceux-ci sur un site Web compromis.

Recommandations pour les propriétaires de sites Web

Bien que l’aspect technique d’un TDS soit intéressant, une autre façon de le voir est la quantité de trafic réel qu’il reçoit et d’où il vient. Lire aussi : Apple autorise désormais les applications non répertoriées sur l’App Store. En enquêtant sur ce point particulier, nous avons recueilli des chiffres sur divers aspects de cette opération, couvrant une fenêtre de 48 heures début mai 2021 :

Sites compromis qui alimentent le TDS

Indicateurs de compromis (CIO)

Bien qu’il soit très difficile de se défendre contre un attaquant bien financé avec beaucoup de ressources, il s’agit d’un niveau d’attaque légèrement inférieur. Bien que les attaques soient automatisées, elles semblent exploiter des problèmes connus avec les anciennes versions et plug-ins de WordPress. Lire aussi : Justin Bieber achète Bored Ape NFT pour cinq fois la valeur | La colline. Voici ce que vous pouvez faire pour éviter d’être victime de ce type d’attaque : & # xD ;

Bien qu’être compromis par un TDS comme celui que nous décrivons dans cet article soit certainement problématique, la prévention est heureusement relativement simple et utilise les meilleures pratiques que tout administrateur WordPress devrait déjà utiliser. Restez en sécurité et bon blog!