L’une des nombreuses astuces de la boîte à outils du cybercriminel moderne consiste à utiliser des sites Web compromis pour échapper aux filtres anti-spam et aux systèmes de réputation de domaine. Qu’il s’agisse de cacher un exploit basé sur le Web ou simplement d’exploiter gratuitement la réputation de domaines par ailleurs légitimes, l’utilisation d’un nom de domaine existant présente de nombreux avantages, et cela ne tient même pas compte du fait que voler le domaine de quelqu’un d’autre est moins cher que d’en acheter un . Dans cet article, nous examinerons au-delà de l’URL d’un site Web WordPress compromis pour donner un aperçu de ce qui se passe une fois qu’un site Web a été compromis.

Pourquoi WordPress ?

Pourquoi WordPress ?
© malwarebytes.com

De nombreux sites compromis semblent fonctionner sur WordPress. Cela signifie-t-il que WordPress est un mauvais choix pour un système de gestion de contenu (CMS) ? Non, WordPress lui-même s’est considérablement amélioré au fil des ans et est par défaut, prêt à l’emploi, un choix solide et sûr pour de nombreux sites Web. Ceci est confirmé par le fait que les chiffres montrent désormais plus de 40 % de tous les sites Web du monde entier. Sur le même sujet : Comment Marvel s’est discrètement moqué de la prochaine grande menace du MCU et ce que cela signifie pour la phase 4. monde qui exécutent WordPress. Cette grande part de marché signifie que les objectifs sont nombreux. Puisque ces buts se comportent de manière uniforme, il est intéressant de développer des outils pour les saper.

Il est important de noter que ce n’est pas seulement WordPress lui-même qui est visé. De nombreux problèmes sont en fait causés par des plugins obsolètes ou des plugins qui sont déjà des portes dérobées au moment de l’installation. Ce dernier arrive surtout avec les versions piratées des plugins payants. En enquêtant sur ce sous-ensemble particulier de sites Web piratés, nous avons constaté que plus de la moitié d’entre eux utilisaient la dernière version stable de WordPress au moment de l’enquête. Puisqu’ils étaient toujours compromis, cela signifie presque certainement que les sites ont été compromis via un plug-in, ou que les attaquants ont réussi à maintenir la persistance sur les sites Web ciblés – l’exploit réel a été fait dans le passé, mais les fichiers placés par les attaquants ont survécu les mises à jour.

Top 10 des versions de WordPress vues sur les sites Web piratés

A lire également

De l’exploit à la plateforme

De l'exploit à la plateforme
© linuxhint.com

Finalement, cette chaîne d’outils fait partie d’un système plus vaste, généralement appelé par les malfaiteurs TDS : Traffic Distribution System. Ce système gère les sites compromis, reçoit les visites des visiteurs sans méfiance et leur propose ensuite un contenu basé sur des paramètres préétablis tels que le pays d’origine, le type de navigateur et le système d’exploitation. Ceci pourrait vous intéresser : Que possédez-vous lorsque vous possédez un NFT. La plupart des systèmes TDS sont un bon exemple de la façon dont la facilitation de la cybercriminalité s’est transformée en modèle « en tant que service »: le groupe qui gère le TDS vend des capacités sur la plate-forme à d’autres cybercriminels pour présenter leur contenu à n’importe quel groupe démographique qu’ils souhaitent cibler. Certains visiteurs peuvent être redirigés vers un site Web de casino, tandis que d’autres peuvent recevoir un plug-in de navigateur malveillant.

Spamhaus détecte les sites Web compromis utilisés directement dans le spam ou dans le cadre d’une chaîne de redirection et ajoute des noms d’hôte à nos ensembles de données pour protéger nos utilisateurs. En conséquence, les propriétaires de sites Web découvrent qu’ils ont un problème, et c’est là que commence souvent la partie la plus difficile, car bon nombre de ces utilisateurs de WordPress n’ont pas les compétences nécessaires pour découvrir ce qui ne va pas et comment y remédier.

Cachez – et restez caché

Sans surprise, les commerçants qui compromettent ces sites Web ne facilitent pas la résolution du compromis. A voir aussi : Apple met à jour le firmware des AirPods 3 vers la version 4C170. L’un des multiples groupes que nous suivons impliqués dans la compromission massive de sites Web WordPress utilise quelques stratégies pour garder les propriétaires de sites Web dans l’ignorance :

Noms de fichiers trompeurs

Initialement, lorsque le groupe profite d’un site Web WordPress, il publie 5 à 10 fichiers PHP d’apparence inoffensive, avec des noms tels que genericerror. Lire aussi : Les œufs de Pâques dans « Eternals » de Marvel que vous avez probablement manqués.php, email_friend.php ou weblog_rss.php. Les fichiers sont nommés de cette manière pour éviter d’éveiller les soupçons au cas où le webmaster déciderait de fouiller dans son système de fichiers.

Obfuscation du code source

Si un administrateur curieux décide de regarder de plus près ces fichiers, il ne trouvera pas beaucoup de code lisible (ce qui en soi est une cause d’alarme !), car les fichiers supprimés via l’exploit sont obscurcis : & # xD ; Sur le même sujet : SpaceX a terminé 2021 en beauté et 2022 pourrait être carrément explosive.

Comportement du proxy inverse

& # xD;

L’une des approches intéressantes dans ce cas particulier est que les fichiers placés sur l’instance WordPress compromise ne sont en fait que des proxys inverses – ils canalisent le trafic reçu vers l’emplacement distant préconfiguré (et obscurci) où réside le contenu réel. Cela signifie non seulement que le visiteur n’est pas redirigé, mais cela signifie que les attaquants ont un contrôle total sur quel contenu est servi à quel visiteur ! En combinaison avec ce proxy, une série de variables sont également envoyées au backend qui peuvent être utilisées pour segmenter le trafic des visiteurs, afin que plusieurs campagnes puissent être exécutées simultanément à partir des mêmes fichiers. Sur le même sujet : Les tensions avec la Russie inquiètent les anciens astronautes américains à propos d’un partenariat dans l’espace. Parmi ces variables figurent :

Persistance sur le site piraté

& # xD;

L’échelle des choses

ip (r) (x) (f) – L’adresse IP de connexion en différentes saveurs – Le domaine et l’URL complète du fileref saisi – Le référent HTTP headerprox – L’IP de connexion agit comme un agent proxy ? – L’agent utilisateur stringlang – Langue préférée du navigateur Lire aussi : Facebook supprime les vidéos de profil de la plateforme dans leur intégralité.

La caractéristique la plus intéressante de cette TDS particulière est peut-être qu’elle peut être mise à jour à distance par les opérateurs. En appelant le script d’une manière spécifique et en fournissant une clé dans une variable HTTP, il peut s’écraser et ainsi mettre à jour tout son code, y compris l’emplacement distant où le contenu est servi. En pratique, cela signifie que même si la vulnérabilité du site ou du plugin d’origine a été corrigée, les fichiers supprimés peuvent toujours être gérés et utilisés jusqu’à ce qu’ils soient supprimés par le propriétaire du site. De plus, une obfuscation légèrement différente peut être utilisée avec chaque mise à jour pour rendre plus difficile la recherche automatique de fichiers comme ceux-ci sur un site Web compromis.

Recommandations pour les propriétaires de sites Web

Bien que l’aspect technique d’un TDS soit intéressant, une autre façon de le voir est la quantité de trafic réel qu’il reçoit et d’où il vient. Lire aussi : Les 6 meilleures applications médicales pour Windows 10 sur le Microsoft Store. En enquêtant sur ce point particulier, nous avons recueilli des chiffres sur divers aspects de cette opération, couvrant une fenêtre de 48 heures début mai 2021 :

Sites compromis qui alimentent le TDS

Indicateurs de compromis (CIO)

Bien qu’il soit très difficile de se défendre contre un attaquant bien financé avec beaucoup de ressources, il s’agit d’un niveau d’attaque légèrement inférieur. Bien que les attaques soient automatisées, elles semblent exploiter des problèmes connus avec les anciennes versions et plug-ins de WordPress. A voir aussi : Des groupes de défense des droits de l’homme demandent à Facebook de publier le rapport sur le discours de haine en Inde. Voici ce que vous pouvez faire pour éviter d’être victime de ce type d’attaque : & # xD ;

Bien qu’être compromis par un TDS comme celui que nous décrivons dans cet article soit certainement problématique, la prévention est heureusement relativement simple et utilise les meilleures pratiques que tout administrateur WordPress devrait déjà utiliser. Restez en sécurité et bon blog!