No dia , escrevemos sobre a enorme pitada de ataques de força bruta nos sites do WordPress que observamos em mineração de Bictoin. Conforme relatado, foi o perÃodo mais intenso de ataques que já tÃnhamos gravado. Acreditamos que uma única botnet está por trás dos ataques.
Nós conseguimos isolar os endereços IP da botnet e depois compará-los com os IPs dos nossos pedidos de limpeza do site mais recentes. Como a sorte teria, nós conseguimos alguns hits. Isso nos proporcionou a incrÃvel oportunidade de cavar e descobrir o que o atacante faz e o que encontramos é realmente interessante.
Nota: A seção a seguir é um mergulho profundo muito técnico no que aprendemos sobre o que o atacante está fazendo. Caso contrário, sinta-se livre para seguir diretamente para a seção “resumos de descobertas” abaixo.
O que o ataque depende
A maior parte da nossa investigação veio de um caso de limpeza de um site. Começou quando um do nosso cliente recebeu uma reclamação de abuso, incluindo logs de tentativas de login do WordPress com falha no servidor dele. Realizamos o suficientes para parar o ataques para bloquear em nossa lista negra de IP , com mais de 100 mil tentativas na segunda-feira.
O servidor era um VPS gerenciado pelo próprio cliente. Este nos forneceu o acesso de raiz, o que nos permitiu fazer uma análise mais aprofundada dos processos em execução no servidor. Começamos nossa investigação e encontramos uma confusão.
Os recursos da CPU do servidor estavam sendo consumidos por processos Apache de longa duração, bem como um processo estranho chamado “29473” usando mais recursos que o resto.
Também observamos milhares de conexões do servidor que saÃam para a porta 80 em outros servidores:
Em outras palavras, o servidor do nosso cliente (o endereço IP começando com 172) estava se conectando a milhares de outros servidores da Web.
Também descobrimos que “29473” estava segurando conexões abertas para dois endereços IP:
- 66.70.190.236 na porta 9090. Este endereço IP canadense pertence à OVH, uma computação em nuvem com base na França. Não parece ter um nome de domÃnio associado a ele nem nenhum dado de nome de domÃnio histórico. Escaneámo-lo e descobrimos apenas duas portas abertas: um executando o SSH e a porta 9090 aparentemente executando um servidor IRC.
- 185.61.149.22 na porta 8080. Este endereço IP pertence a uma rede chamada “Makonix SIA” na Letônia. Também não tinha nenhum domÃnio associado a ele. Nossa verificação de rede encontrou várias portas abertas. Um era um servidor SSH, e o resto parecia ser servidores web que responderam a todos os pedidos com o texto “Mining Proxy Online”.
Neste ponto, conhecemos os movimentos amplos da atividade do invasor neste servidor. As comunicações com um servidor IRC provavelmente serão comando e controle (C & C). Um processo que consumiu enormes quantidades de poder de processamento e a comunicação com um “proxy de mineração” deve ser um minério de criptografia, quase certamente para o Monero, uma vez que pode ser minado usando processadores regulares em vez de processadores gráficos. E as conexões com outros servidores da Web provavelmente serão os ataques de força bruta do WordPress que sabemos que são originários desse servidor.
O resto da investigação revelou ainda mais detalhes.
Comando e Controle
Utilizamos tcpdump para gravar o tráfego de rede, enquanto nós reunimos os arquivos e a memória de arquivos executados. Conseguimos capturar um pouco de tráfego C & C e, como é um tráfego IRC não criptografado, investigamos isso para entender melhor o que os atacantes estão fazendo. Com base no tráfego e na análise de algumas amostras que recuperamos, o malware parece ser uma variante de “Tsunami” ou “Kaiten”.
Servidores
Identificamos oito servidores C & C, todos executando o daemon IRC na porta 8080 ou 9090. Cada um tinha um nome que seguiu um padrão, por exemplo, os quatro primeiros servidores da lista estão todos hospedados na OVH e seus nomes são muhstik.ovh1 através de muhstik.ovh4.
- 66.70.190.236:9090 muhstik.ovh1
- 142.44.163.168:9090 muhstik.ovh2
- 192.99.71.250:9090 muhstik.ovh3
- 142.44.240.14:9090 muhstik.ovh4
- 202.165.193.211:8080 x.1
- 202.165.193.212:8080 x.2
- 211.103.199.98:8080 x.4
- 121.128.171.44:9090 muhstik.ras1
Protocolo
O protocolo de comando é bastante direto. O malware junta-se ao servidor IRC e define seu nome de usuário para uma string que inclui algumas informações sobre o servidor no qual ele está sendo executado. Abaixo está uma captura de tela de uma de nossas capturas de pacotes mostrando o tráfego do servidor pirateado em vermelho e o tráfego do servidor C & C em azul. Nesse exemplo, o apelido inclui “x86” (mostrando que não é um servidor de 64 bits) eo nome do host (o qual nós expurgamos). O malware recebe instruções através de mensagens privadas de outros bots ou usuários.
O servidor parece ser negligente em relação às conexões; Parece que a única autenticação que requer é seguir o formato certo ao unir e definir o apelido, responder a mensagens, etc.
Comandos
A maioria dos comandos provenientes do atacante eram como os da captura de tela – baixe um script de algum servidor e execute-o silenciosamente. Os comandos são enviados em intervalos regulares, e percorrer alguns métodos diferentes de baixar o script (wget, curl, etc.). Parece que esses comandos são apenas enviados automaticamente, provavelmente para garantir que o script malicioso seja reiniciado se ele falhar ou ser encerrado.
Vimos alguns outros comandos destinados a reunir informações sobre o servidor comprometido. Alguns deles pareciam cheques automáticos de status, mas percebemos alguma atividade manual. Em um ponto, o atacante enviou o comando “iptime” e depois um momento depois enviou a ortografia correta, “uptime”.
O atacante parece ter compilado sua própria versão do software criptográfico, mas verificamos algumas instâncias em que enviaram comandos para executar manualmente criptominadores – mais sobre isso abaixo.
Comportamento Malware / Persistência
Este malware não era um rootkit – ele é executado como uma conta de usuário regular, felizmente. Ele ainda tenta ser o mais furtivo possÃvel. Quando ele começa, ele gera uma cópia de si, mas com um nome diferente, provavelmente escolhido aleatoriamente de arquivos ao redor do servidor. Por exemplo, nós mencionamos isso funcionando com o nome “29473”, mas também o observamos como “python” e vários outros programas comuns.
Encontramos diversas variações do malware. A maioria deles foi projetada de modo que quando eles são iniciados, eles excluem seu próprio arquivo do disco. Dessa forma, o software antivÃrus não irá identificá-los (a menos que ele também varre os programas na memória).
Para a persistência, o malware se instalou como um trabalho cron para executar a cada segundo:
* * * * * /var/www/vhosts/[redacted].com/wp-content/plugins/bash> / dev / null 2> & 1 &
Ele também ouviu conexões em portas TCP altas (por exemplo, 61008 e 63008), mas não observamos nenhum tráfego para essas portas.
Ataques da Força Bruta
Claro, o malware também é responsável pelos ataques de força bruta. Com base em nossas observações, ele usa uma combinação de listas de senha comuns e heurÃsticas com base no nome do domÃnio e no conteúdo do site que ele ataca – incluindo nomes, nomes de usuário e palavras. Por exemplo, no wordfence.com, tentaria nomes de usuários como “admin” e senhas como “123456.” Mas também tentaria “wordfence”, “mark”, e assim por diante.
Também observamos o ataque de sites que funcionam em portas não-padrão, usando apenas um endereço IP em vez de um nome de domÃnio – então não pense que seu site está seguro de atacar só porque está escondido em algum lugar, Na verdade, foi assim que comprometeram o servidor do nosso cliente.
Seu site de desenvolvimento foi hospedado no mesmo servidor com alguns dos seus sites de produção, e esse compromisso começou tudo. O cliente não instalou proteção no site do dev. se tivessem, poderia ter prevenido ou pelo menos alertado sobre o login do administrador, e até mesmo nossas assinaturas gratuitas detectam as portas traseiras que os atacantes adicionaram.
Os atacantes também infectaram a maioria dos arquivos PHP dos sites com uma única e longa linha:
também detectamos o seuguinteo.
Mineração Cryptocurrency
Algumas das amostras de malware continham o software de mineração Monero XMRig. Na maioria dos casos, o invasor configurou-o para executar um dos vários proxies, portanto, não conhecemos o endereço da carteira associado aos mineiros. Mas, em alguns casos, o invasor executou manualmente os comandos de mineração apontados para pool.supportxmr.com e incluiu o endereço da carteira. Os dois endereços que observamos foram 45Fj1P2s9LiVEVoW4p81cSKP5og6GSF3m9YUQc51o6KzXw1ByufNoTa88NEWBeE7dtjRZRCDj3Ly4a95by6sfzP3UmX3741 e 4ADnikPPkTpD39LunWcMA136o2m2uwnEhheKNmfQPv5kAFsQaxr2VsLeit5GEPdEkd9TxnAkzinWhK8LUFzxmTuc5rT1YDK.
Você pode inseri-los em supportxmr.com e ver suas estatÃsticas de desempenho recentes, bem como seu histórico de pagamento:
De repente, o motivo dos ataques frenéticos de força bruta torna-se muito claro. No inÃcio deste mês, o preço do Monero mal havia quebrado US $ 200. Mas seu valor desde então disparou, atingindo US $ 378 no dia anterior aos ataques. O Monero foi projetado para que possa ser extraÃdo por CPUs regulares, mas isso ainda não é fácil. Mesmo para um hacker usando servidores comprometidos, o retorno sobre a mineração não foi ótimo – até recentemente.
Esses dois endereços, que certamente representam apenas uma fração do poder de mineração deste atacante, juntos receberam cerca de 217 XMR. No momento desta postagem, vale quase US $ 100.000. O atacante decidiu ir all-in na mineração usando servidores comprometidos, e ele está tentando comprometer tantos servidores como ele pode.
Resumo das conclusões
Para resumir, o atacante está alavancando sofware sofisticado para controlar remotamente servidores de WordPress comprometidos. Os servidores estão sendo usados ​​para atacar outros sites do WordPress e para o meu para o Monero, uma cryptocurrency que pode ser minada eficientemente usando o hardware do servidor web. Nós descobrimos evidências mostrando que o atacante ganhou quase US $ 100.000 da mineração já, e provavelmente muito mais.
Atualização sobre Volumes de Ataque
Desde que inicialmente relatamos esta nova campanha de ataque de força bruta na segunda-feira, os volumes de ataque que estamos vendo foram extremamente voláteis. Agora sabemos que o atacante está usando sites de WordPress comprometidos para ataques de inicialização e cryptocurrency de minas, então teorizamos que estão ajustando a alocação de recursos entre as duas tarefas.
Hoje, no inÃcio da manhã,  UTC  (inÃcio da tarde, PST), nós vimos os volumes de ataque picar de novo, mas ficamos aliviados ao vê-los se estabelecer antes de poderem eclipsar nosso pico anterior. O que é assustador, porém, é que o número de IPs de ataque superou a alta anterior, sugerindo que o botnet do atacante tenha a capacidade de marcar o volume além do pico que vimos na segunda-feira, mas está escolhendo usar alguns desses recursos para criptografia.
Recomendações de nossos especialistas
Há várias coisas que você pode fazer para garantir que seu site não tenha sido comprometido por este invasor e para garantir que não será mais tarde.
- Execute uma varredura usando seu plugins de proteção  – o malware do PHP que encontramos nos sites que analisamos são detectados, incluindo a versão gratuita.
- Verifique os recursos do seu servidor – o Monero-mining que o atacante está fazendo usará tantos recursos de CPU quanto possÃvel. Se você tiver a capacidade de verificar o uso de recursos do seu site, você pode verificar se o uso da CPU está dentro de nÃveis normais. Se você tem acesso de linha de comando ao seu servidor, você pode usar o utilitário `htop` para ver quais processos estão usando a maior parte da CPU.
- Endureça seu site contra ataques de força bruta – se você ainda não o fez, fornecemos um aconselhamento grátis se precisr.
- Monitorar listas negras – se o seu site estiver atacando outros sites, provavelmente será colocado na lista negra rapidamente.
- Aja rapidamente se comprometido – Se você foi infectado, você deseja limpar seu site imediatamente, pois suas reputações de domÃnio e endereço IP serão danificadas muito rapidamente se seu site estiver sendo usado para atacar outros sites.
Observaremos de perto isso e publicaremos as atualizações à medida que a história se desenvolver.
