کشف بدافزاری مخرب در قالب یک افزونه وردپرس
می هاست: کارشناسان بتازگی اعلام نموده اند که بدافزار جدیدی در قالب یک افزونه وردپرس کشف شده که سایت های وردپرس را مورد هدف قرار خواهد داد و به مهاجم اجازه می دهد تا با بوجودآوردن یک حساب کاربری با سطح دسترسی ادمین، کارهای سایت را کنترل کند.
به گزارش می هاست به نقل از ایسنا، Back Door یا درپشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می کند. در این روش هکرها با دور زدن مکانیزم های امنیتی به صورت غیر مجاز به سیستم کاربران دسترسی پیدا می کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی شوند چون که آنها در پس زمینه سیستم کاربران فعالیت می نمایند و شناسایی آنها برای کاربران عادی کار سختی است.
در واقع این نرم افزار مخرب از طریق های مختلف به هکرها این امکان را می دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولا هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می کنند؛ آنها از راه دور می توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند.
حال اخیرا بدافزار جدیدی در چارچوب یک افزونه وردپرس کشف شده است که سایت های وردپرس را مورد هدف قرار خواهد داد و به مهاجم اجازه می دهد تا با تشکیل یک حساب کاربری با سطح دسترسی ادمین، فعالیتهای سایت را کنترل کند. گفته شده این بدافزار یک backdoor با عملکرد مختلف است که برای مهاجم این امکان را فراهم می آورد تا افزونه ها را مدیریت کرده و خویش را در میان افزونه های فعال وب سایتی که در معرض خطر است، پنهان و محتوای مورد نظر را جایگزین و یا بعضی از کاربران را به صفحات مخرب هدایت کند.
تحلیلگران Defiant این بدافزار را در ماه جولای هنگام بازبینی یک وبسایت وردپرس، کشف کردند. با بررسی بیشتر این بدافزار مشخص شده است که خویش را بعنوان یک ابزار caching پنهان خواهد نمود تا از این طریق به کاهش بار سرور و بهبود زمان بارگذاری صفحه کمک نماید. همانطور که پیشتر هم به آن اشاره شد، این افزونه مخرب، خویش را از فهرست "افزونه های فعال" مخفی نگه داشته تا از این طریق بررسی های امنیتی را دور بزند. افزونه ی گفته شده دارای قابلیت هایی است که در ادامه به آن اشاره می شود.
ایجاد کاربر: با استفاده از یک تابع، کاربری با نام "superadmin" و رمز عبور دشوار خواهد ساخت که دارای سطح دسترسی ادمین می باشد، این بدافزار بعد از انجام عملیات مخرب، از راه تابع دیگری، کاربر superadmin را حذف می کند.
شناسایی ربات: هنگامی که بازدیدکنندگان سایت بعنوان یک ربات شناسایی می شوند، بدافزار محتوای مختلفی همچون هرزنامه را به آنها عرضه خواهد کرد تا از این طریق سایت را در معرض خطر محتوای مخرب قرار دهد و این امر باعث خواهد شد تا ادمین سایت شاهد افزایش ناگهانی ترافیک و یا دریافت گزارش های شکایت در خصوص هدایت کاربران به صفحات مخرب شود.
جایگزینی محتوا: بدافزار مذکور می تواند پست ها و محتوای صفحه را تغییر داده و لینک های spam را وارد کند و در نهایت به ادمین سایت، محتوای تغییر داده نشده را عرضه خواهد کرد تا روند تحقیق و بررسی را از سوی وی به تأخیر بیاندازد.
کنترل افزونه: اپراتورهای این بدافزار قادر خواهند بود تا افزونه های وردپرس دلخواه خویش را از راه دور در سایت هدف، فعال یا غیرفعال کنند و در نهایت ردپای خویش را از پایگاه داده سایت پاک کرده تا فعالیتهای آن مخفی بماند.
فراخوانی از طریق دور: این backdoor با بررسی کاربران خاص، به مهاجمان اجازه خواهد داد تا از راه دور توابع مخرب را فعال کند.
به گفته محققان، به صورت کلی قابلت های فوق الذکر مهاجم را قادر خواهد ساخت تا از راه دور به صورت کامل کنترل سایت را در دست گرفته و از این طریق کسب درآمد کند. به قول تحلیل گران Defiant، هم اکنون هیچ جزئیاتی در خصوص آن که چه تعداد وب سایتی در معرض خطر این بدافزار مخرب قرار گرفته اند عرضه نشده است. به صورت کلی میتوان گفت روش های معمول جهت به خطر انداختن یک وبسایت توسط مهاجمان، سرقت اطلاعات ورود کاربر و مجوزهای دسترسی وی، تغییر یا تخصیص پسورد و یا بهره برداری از یک صدمه پذیری در چارچوب یک افزونه است.
کارشناسان مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری سفارش می کنند Defiant یک detection signature از نسخه مجانی Wordfence برای کاربران خود منتشر نموده است و یک rule فایروال جهت حفاظت از کاربران Premium، Care و Response در مقابل حملات backdoor افزوده است. شایان ذکر است که مدیران وبسایت ها باید در ساخت حساب کاربری از اطلاعات ورود قوی و منحصر به فرد استفاده کرده، افزونه های خویش را بروزرسانی کنند و افزونه های بلااستفاده را حذف نمایند.
گفتنی است چندی قبل این مرکز از یک بدافزار در پشتی جدید که شرکتهای مخابراتی خاورمیانه را هدف قرار می دهد اطلاع داد. در رابطه با جزئیات این بدافزار گفته شد که سرویس دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می نماید. Cisco Talos در یک گزارش اعلام نموده است HTTPSnoop یک بک دور ساده ولی موثر است که از روشهای فنی نوآورانه برای تعامل با درایورها و دستگاههای هسته است که از HTTP استفاده می نماید تا درخواست های ورودی برای URL های خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا نماید.
بخشی از ابزارکار تهاجمی این گروه هم با نام PipeSnoop نامگذاری شد که می تواند شل کد خودساخته ای از راه یک لوله نام گذاری شده دریافت کرده و آنرا در دستگاه آلوده اجرا نماید.
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب