Ši kenkėjiška programa pirmą kartą buvo pastebėta 2017 m. ir užkrėtė daugiau nei milijoną svetainių, kuriose veikia „WordPress“. Štai ką reikia žinoti.
Kibernetinės atakos „WordPress“ nėra svetimos ir dabar patyrė dar vieną išnaudojimą, per kurį buvo užkrėstas daugiau nei vienas milijonas svetainių. Ši kenkėjiška kampanija buvo vykdoma naudojant tam tikrą kenkėjišką programą, žinomą kaip Balada Injector. Tačiau kaip ši kenkėjiška programa veikia ir kaip jai pavyko užkrėsti daugiau nei milijoną „WordPress“ svetainių?
„Balada Injector“ kenkėjiškų programų pagrindai
Balada purkštukas (pirmą kartą sukurtas a Dr. Web ataskaita) yra kenkėjiškų programų programa, kuri naudojama nuo 2017 m., kai prasidėjo ši didžiulė „WordPress“ užkrėtimo kampanija. Balada Injector yra „Linux“ pagrindu veikianti užpakalinių durų kenkėjiška programa, naudojama norint įsiskverbti į svetaines.
Backdoor kenkėjiškos programos ir virusai gali apeiti įprastus prisijungimo ar autentifikavimo metodus, leidžiančius užpuolikui pasiekti svetainės kūrėjo pusę. Iš čia užpuolikas gali atlikti neteisėtus pakeitimus, pavogti brangius duomenis ir net visiškai uždaryti svetainę.
Užpakalinės durys išnaudoja svetainių trūkumus, kad gautų neteisėtą prieigą. Daugelis svetainių turi vieną ar daugiau trūkumų (taip pat žinomų kaip saugumo spragų), todėl daugeliui įsilaužėlių nesunku rasti kelią.
Taigi, kaip kibernetiniams nusikaltėliams pavyko sukompromituoti daugiau nei milijoną „WordPress“ svetainių naudodami „Balada Injector“?
Kaip Balada užkrėtė daugiau nei milijoną „WordPress“ svetainių?
2023 m. balandžio mėn. kibernetinio saugumo įmonė „Sucuri“ pranešė apie kenkėjišką kampaniją, kurią ji stebėjo nuo 2017 m. Viduje Sucuri tinklaraščio įrašas, buvo teigiama, kad 2023 m. bendrovės „SiteCheck“ skaitytuvas „Balada Injector“ aptiko daugiau nei 140 000 kartų. Nustatyta, kad viena svetainė buvo užpulta šokiruojančiai 311 kartų, naudojant 11 skirtingų Balada Injector variantų.
Sucuri taip pat pareiškė, kad turi „daugiau nei 100 parašų, apimančių tiek priekinės, tiek galinės kenkėjiškos programos variantus, įterptus į serverio failus. ir „WordPress“ duomenų bazės." Įmonė pastebėjo, kad Balada Injector infekcijos paprastai vyksta bangomis ir dažnėja kas kelias savaites.
Siekdama užkrėsti tiek daug „WordPress“ svetainių, „Balada Injector“ specialiai taikė platformos temų ir papildinių spragas. „WordPress“ savo vartotojams siūlo tūkstančius įskiepių ir platų sąsajų temų spektrą, iš kurių kai kurias anksčiau taikėsi kiti įsilaužėliai.
Čia ypač įdomu tai, kad „Balada“ kampanijos pažeidžiamumas jau yra žinomas. Kai kurie iš šių pažeidžiamumų buvo pripažinti prieš daugelį metų, o kiti buvo atrasti tik neseniai. Balada Injector tikslas yra likti užkrėstoje svetainėje ilgą laiką po jo įdiegimo, net jei jo naudojamas papildinys gauna atnaujinimą.
Pirmiau minėtame tinklaraščio įraše Sucuri išvardijo daugybę infekcijos būdų, naudojamų Balada diegti, įskaitant:
- HTML injekcijos.
- Duomenų bazių injekcijos.
- Svetainės URL injekcijos.
- Savavališkos failų injekcijos.
Be to, Balada Injector naudoja String.fromCharCode kaip užmaskavimą, kad kibernetinio saugumo tyrinėtojams būtų sunkiau jį aptikti ir atpažinti bet kokius atakos metodus.
Piratai užkrečia „WordPress“ svetaines „Balada“, kad nukreiptų vartotojus į sukčiavimo puslapius, pvz., netikras loterijas, pranešimų sukčiavimą ir netikrų technologijų ataskaitų platformas. „Balada“ taip pat gali išfiltruoti vertingą informaciją iš užkrėstų svetainių duomenų bazių.
Kaip išvengti Balada injektorių atakų
Yra keletas būdų, kaip išvengti Balada Injector, pavyzdžiui:
- Reguliarus svetainės programinės įrangos atnaujinimas (įskaitant temas ir papildinius).
- Reguliarus programinės įrangos valymas.
- Aktyvinama dviejų veiksnių autentifikavimas.
- Naudojant stiprūs slaptažodžiai.
- Svetainės administratoriaus teisių apribojimas.
- Failų vientisumo kontrolės sistemų diegimas.
- Vietinės kūrimo aplinkos failų laikymas atskirai nuo serverio failų.
- Duomenų bazės slaptažodžių keitimas po bet kokio kompromiso.
Tokių veiksmų atlikimas gali padėti apsaugoti jūsų „WordPress“ svetainę nuo „Balada“. Sucuri taip pat turi a „WordPress“ valymo vadovas kuriuos galite naudoti norėdami, kad svetainėje nebūtų kenkėjiškų programų.
Balada purkštukas vis dar yra laisvas
Rašymo metu „Balada Injector“ vis dar veikia ir užkrečia svetaines. Kol ši kenkėjiška programa nebus visiškai sustabdyta, ji ir toliau kelia pavojų „WordPress“ vartotojams. Nors šokiruojate girdėti, kiek svetainių jau užkrėsta, laimei, nesate visiškai bejėgis prieš užpakalinių durų pažeidžiamumą ir kenkėjiškas programas, tokias kaip Balada, kuri išnaudoja tuos trūkumus.