CyberNews最近刊载了一篇文章,较为详细地披露了一项针对WordPress的恶意软件注入活动“Balada”,该活动已经渗透了超过100万个网站。
一场致命的网络运动一直在悄悄地破坏网站安全,利用流行的WordPress插件——渗透超过100万个网站,让管理员们手忙脚乱地寻找解决方案。
2023年4月,Bleeping Computer和其他科技公司如TechRadar开始流传网络犯罪分子成功入侵WordPress网站的报告。他们能够通过流行的插件Elementor Pro Premium(网页生成器)和WooCommerce(在线商店)的有毒组合获得访问权限。
最初归因于忍者科技网络的安全研究员Jerome Braundet,这个最近披露的漏洞产生了一个基础8.8 CVSS评分(高),让WordPress管理员和网络安全团队非常烦恼。
截至2023年5月,CVE的正式命名仍然悬而未决。运行ElementorPro 3.11.6或更早版本的网站,以及激活的WooCommerce插件,建议将ElementorPro升级到至少3.11.7或面临通过身份验证的用户(认为标准的电子商务客户)通过利用破碎的访问控制实现网站的总控制风险-最严重的OWASP的十大风险。
虽然这个漏洞的报告在互联网上广泛流传,但在类似的战线上,针对这些和其他标准WordPress插件的一系列鲜为人知但直接相关的“黑客”也在发生。
本文将重点讨论广泛而持久的恶意软件注入器运动“Balada”,据报道,该运动通过利用Elementor Pro、WooCommerce和其他WordPress插件中的弱点,感染了100多万个个人网站。本文将简要介绍Balada喷射器的历史、其共同目标、共同妥协指标(IoC)和快速开发概述,包括一些组织应采取的避免成为下一个受害者的一般性建议。
什么是Balada?
自2017年以来,网络安全公司Sucuri一直在追踪BaladaInjector的活动,但直到最近才给这场旷日持久的运动取名。主要是利用用GO语言编写的函数,“Balada”在几种语言中翻译成“Ballad”,通过常见但未修补的WordPress插件、主题或其他软件漏洞实现最初的感染。
然后,Balada试图通过执行一系列预演的攻击、跨站点感染和安装后门来传播自己并保持持久性,这些都与其同名。Elementor Pro和WooCommerce折衷路径允许通过身份验证的用户修改WordPress配置以创建管理员帐户或将URL重定向到网站页面或帖子。然后,恶意软件使用一种盗贼式的方案来获取数据库凭据、归档文件、日志数据或没有充分安全保护的有价值的文档,同时建立许多用于持久性的命令和控制(C2)通道。
Balada并不是一个过于害羞的恶意软件运动。苏库里指出,注射活动遵循一个固定的月时间表,通常从周末开始,在一个可预测的周期内在周中结束。
Balada支持利用基于linux的主机,但基于微软的web服务器(如IIS)也不能幸免.遵循在其他当代恶意软件运动中看到的做法,Balada利用新注册的域(由随机的、无关的单词组成)来吸引点击和用户重定向到提供恶意负载的网站。
这些网站通常会伪装成假IT支持服务,现金奖励通知,甚至安全验证服务,如CAPTCHA。下面的信息图表总结了Balada将寻求利用的初始攻击向量、它试图滥用的服务或插件,以及它的一些更为公认的持久性向量。防御性措施将在文章末尾总结,因为巴拉达一旦嵌入,就很难移除。
基本的Balada注入器工作流程和对WordPress CMS的能力。
识别Balada注射过程
苏库里的研究进一步证实,Balada的主要恶意软件例程通常位于受损害的受害者设备“
C:/Users/host/Desktop/balada/client/main.go”.A上的以下路径上:半维护的ACT病毒总集突出了常见的文件哈希、URL和其他与Balada交付的恶意软件及其感染相关的指标。
Balada还利用了一个过时但反复出现的用户代理–“Mozilla/5.0(WindowsNT10.0;WOW 64)AppleWebKit/537.36(KHTML,像壁虎一样)Chrome/84.0.4147.125 Safari/537.36”,Sucuri在2020年末开始并一直持续到当前的受损机器日志中反复观察到这一点。自2017年以来,Balada的活动与100多个独特的领域联系在一起。Balada利用一个“main.ex_Domain”功能来存储和重用域,以便在每月的活动中成功感染或妥协时,用于将来的攻击。
下表突出了在最近分析的注射器运动中观察到的一小部分共同结构域。2023年5月,与苏克鲁伊联系,请其发表评论,以确定APT组织是否与这些袭击有关,但没有做出正式回应。
防御控制考虑因素
到目前为止,本文已经介绍了Balada如何寻求实现一个初步的妥协,它认为适当的文件和信息的具体类型,以及一些常见的感染技术。组织可以考虑以下一些指导,以帮助他们预防巴拉达感染或确定感染可能发生的时间。
有些建议是不言而喻的,比如确保Web服务器主机、网站插件、主题或相关软件保持最新。有些则不那么明显,例如通过Cisco Umbrella或DNSFilter等解决方案确保良好的DNS安全性。存在这些功能是为了提供网络级或漫游客户端解决方案,这些解决方案可以识别并阻止对已知恶意站点的重定向尝试和DNS请求。组织还应实施强密码策略(复杂性、16个以上字符等),特权用户必须满足多因素身份验证或其他条件访问策略,并且创建特权帐户时应向适当的团队生成警报。各组织还应认真考虑实施或定期评估以下内容:
1、定期审核Web应用程序操作所必需的插件、主题或软件。删除所有不必要或未使用的软件。
2、针对Web应用程序执行内部和常规渗透测试或类似评估,以在Balada之前识别可利用的漏洞。
3、对关键系统文件启用文件完整性监视(FIM)。
4、严格限制对敏感文件(如wp-config、网站备份数据、日志文件或数据库存档)的访问,并确保强大的数据保留策略在不再需要时清除这些数据的旧版本。
5、禁用不必要或不安全的服务器服务和协议,如FTP。
6、通过US CISA、MS-ISAC或其他知名威胁情报服务订阅安全警报,了解关键软件和系统漏洞。
总结
WordPress仍然是内容管理系统(CMS)领域中被广泛采用的解决方案(自2023年5月以来,每个CreativeMind都有超过3000万个安装),但其相对大小使其成为潜在攻击者和高级持续威胁(APT)装备的主要目标。本文演示了WordPress安装中广泛采用的易受攻击的软件组件,以及考虑到可用成分的适当组合,不良行为者获得成功利用是多么简单。
组织应该感谢他们的客户、利益相关者和商业伙伴,以确保针对可访问互联网的资产采取深入的防御方法,以免他们面临成为另一个负面的新闻统计数字。像Balada这样的长期恶意软件运动由于对网络安全的最佳实践缺乏重视而继续获得成功。现在是时候了,当涉及到网络复原力的时候,组织应该加强他们的游戏,并把剧本转到这些坏角色身上。