Cybercriminelen die een netwerk van meer dan 20.000 besmette WordPress-installaties controleren, gebruiken hun botnet om aanvallen op andere WordPress-websites uit te voeren. Dat meldt Defiant, ontwikkelaar van de securityplug-in Wordfence.
Defiant heeft naar eigen zeggen in de voorbije maand alleen al meer dan vijf miljoen inlogpogingen van reeds geïnfecteerde sites tegen andere WordPress-sites gedetecteerd. Het gaat om zogeheten woordenboekaanvallen. Daarbij wordt herhaaldelijk een reeks veelgebruikte gebruikersnamen en wachtwoorden ingevuld, in de hoop om toegang te krijgen tot een account.
Mikey Veenstra, veiligheidsonderzoeker bij Defiant, laat ZDNet in een reactie weten dat het bedrijf erin geslaagd is inzicht te krijgen in hoe het zogeheten botnet werkt. Zo staan vier command-and-control (C&C)-servers aan het hoofd van de operatie. Die versturen hun aanvalsinstructies naar een netwerk van meer dan 14.000 proxyservers om de ware afkomst te verbergen. Die sturen de informatie vervolgens weer door naar malafide scripts op reeds geïnfecteerde WordPress-sites.
Wachtwoordpatronen
De scripts ontvangen hun lijst met doelwitten en stellen een lijst met wachtwoorden samen op basis van vooraf gedefinieerde patronen. “Als het bruteforcescript zich als gebruiker ‘alice’ probeert aan te melden bij example.com, zal het wachtwoorden genereren als bijvoorbeeld alice1 en alice2018″, legt Veenstra uit.
Vervolgens worden die wachtwoorden afgegaan in een poging op het beheerdersaccount in te breken. “Hoewel het onwaarschijnlijk is, dat deze tactiek op één bepaalde site zal slagen, kan het zeer effectief zijn wanneer het op grote schaal op een groot aantal doelwitten wordt gebruikt”, vertelt Veenstra.
Fout hackers
Defiant heeft naar eigen zeggen de activiteit van het botnet kunnen volgen, doordat de criminelen achter het botnet fouten hebben gemaakt bij de implementatie van de scripts. Hierdoor wisten de onderzoekers de volledige backendinfrastructuur van het botnet bloot te leggen. Iets wat volgens Veenstra onder normale omstandigheden niet mogelijk zou zijn, gezien de aanvallers een netwerk van proxies gebruikten om de locatie van hun C&C-servers te verbergen.
Het beveiligingsbedrijf laat weten de gedetecteerde informatie inmiddels te hebben gedeeld met justitie. De vier servers verwijderen, is volgens Defiant niet mogelijk, omdat ze zouden worden gehost op de infrastructuur van HostSailor, een bedrijf dat bekend staat als een bulletproof hostingprovider die geen verwijderingsverzoeken honoreert.
Ondanks de ontdekking kan het botnet dus gewoon doorgaan met het aanvallen van WordPress-sites. Defiant raadt WordPress-gebruikers dan ook aan een beveiligingsplug-in te gebruiken die bruteforce- of woordenboekaanvallen tegen de XML-RPC-service kan blokkeren. Dit gezien de geautomatiseerde inlogpogingen van het botnet niet zijn gericht op het aanmeldingsvenster van WordPress, maar op het WordPress XML-RPC-authenticatiemechanisme. Het wijzigen van de URL van een beheerderspaneel van een site heeft volgens het beveiligingsbedrijf dan ook geen enkel nut.
Gerelateerd: Duizenden gehackte WordPress-sites misbruikt voor oplichting