Ένα νέο κακόβουλο λογισμικό παριστάνει το νόμιμο πρόσθετο προσωρινής αποθήκευσης για να στοχεύσει ιστότοπους WordPress, επιτρέποντας στους φορείς απειλών να δημιουργήσουν έναν λογαριασμό διαχειριστή και να ελέγχουν τη δραστηριότητα του ιστότοπου.
Το κακόβουλο λογισμικό είναι μια κερκόπορτα με διάφορες λειτουργίες που του επιτρέπουν να διαχειρίζεται τα πρόσθετα και να κρύβεται από τα ενεργά στις παραβιασμένες ιστοσελίδες, να αντικαθιστά περιεχόμενο ή να ανακατευθύνει ορισμένους χρήστες σε κακόβουλες τοποθεσίες.
Λεπτομέρειες ψεύτικου πρόσθετου
Οι αναλυτές της Defiant, των κατασκευαστών του πρόσθετου ασφαλείας Wordfence για το WordPress, ανακάλυψαν το νέο κακόβουλο λογισμικό τον Ιούλιο κατά τον καθαρισμό ενός ιστότοπου.
Ρίχνοντας μια πιο προσεκτική ματιά στο backdoor, οι ερευνητές παρατήρησαν ότι ερχόταν “με ένα επαγγελματικής εμφάνισης εναρκτήριο σχόλιο” για να μεταμφιεστεί ως εργαλείο caching, το οποίο συνήθως βοηθά στη μείωση της καταπόνησης του διακομιστή και στη βελτίωση των χρόνων φόρτωσης της σελίδας.
Η απόφαση να μιμηθεί ένα τέτοιο εργαλείο φαίνεται σκόπιμη, διασφαλίζοντας ότι θα περάσει απαρατήρητο κατά τη διάρκεια χειροκίνητων ελέγχων. Επίσης, το κακόβουλο πρόσθετο έχει ρυθμιστεί να αποκλείει τον εαυτό του από τη λίστα των “ενεργών πρόσθετων” ως μέσο για να αποφύγει τον έλεγχο.
Το κακόβουλο λογισμικό διαθέτει τις ακόλουθες δυνατότητες:
User creation – Μια συνάρτηση δημιουργεί έναν χρήστη με όνομα ‘superadmin’ με σκληρά κωδικοποιημένο κωδικό πρόσβασης και δικαιώματα επιπέδου διαχειριστή, ενώ μια δεύτερη συνάρτηση μπορεί να αφαιρέσει αυτόν τον χρήστη για να σβήσει τα ίχνη της μόλυνσης.
Bot detection – Όταν οι επισκέπτες αναγνωρίζονταν ως bots (π.χ. ανιχνευτές μηχανών αναζήτησης), το κακόβουλο λογισμικό τους παρείχε διαφορετικό περιεχόμενο, όπως spam, προκαλώντας τους να ευρετηριάσουν τον παραβιασμένο ιστότοπο για κακόβουλο περιεχόμενο. Ως εκ τούτου, οι διαχειριστές θα μπορούσαν να δουν μια ξαφνική αύξηση της επισκεψιμότητας ή αναφορές από χρήστες που διαμαρτύρονται για ανακατεύθυνση σε κακόβουλες τοποθεσίες.
Content replacement – Το κακόβουλο λογισμικό μπορεί να μεταβάλλει τις αναρτήσεις και το περιεχόμενο της σελίδας και να εισάγει συνδέσμους ή κουμπιά spam. Στους διαχειριστές του ιστότοπου σερβίρεται μη τροποποιημένο περιεχόμενο για να καθυστερήσει η υλοποίηση της παραβίασης.
Plugin control – Οι χειριστές του κακόβουλου λογισμικού μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν εξ αποστάσεως αυθαίρετα πρόσθετα του WordPress στον ιστότοπο που έχει παραβιαστεί. Επίσης, καθαρίζει τα ίχνη του από τη βάση δεδομένων του ιστότοπου, έτσι ώστε η δραστηριότητα αυτή να παραμένει κρυφή.
Remote invocation – Το backdoor ελέγχει για συγκεκριμένες συμβολοσειρές του πράκτορα χρήστη, επιτρέποντας στους επιτιθέμενους να ενεργοποιούν εξ αποστάσεως διάφορες κακόβουλες λειτουργίες.
Προς το παρόν, η Defiant δεν παρέχει λεπτομέρειες σχετικά με τον αριθμό των ιστότοπων που έχουν παραβιαστεί με το νέο κακόβουλο λογισμικό και οι ερευνητές της δεν έχουν ακόμη προσδιορίσει τον αρχικό φορέα πρόσβασης.
Οι τυπικές μέθοδοι παραβίασης ενός ιστότοπου περιλαμβάνουν κλεμμένα διαπιστευτήρια, brute-forcing κωδικών πρόσβασης ή εκμετάλλευση ευπάθειας σε υπάρχον πρόσθετο ή θέμα.
Η Defiant κυκλοφόρησε μια υπογραφή ανίχνευσης για τους χρήστες της δωρεάν έκδοσης του Wordfence και πρόσθεσε έναν κανόνα τείχους προστασίας για την προστασία των χρηστών Premium, Care και Response από την κερκόπορτα.
Ως εκ τούτου, οι ιδιοκτήτες ιστότοπων θα πρέπει να χρησιμοποιούν ισχυρά και μοναδικά διαπιστευτήρια για τους λογαριασμούς διαχειριστών, να διατηρούν τα πρόσθετα τους ενημερωμένα και να αφαιρούν αχρησιμοποίητα πρόσθετα και χρήστες.
Το XSS (Cross-Site Scripting) είναι μια επίθεση κατά της ασφάλειας των ιστοσελίδων, κατά την οποία ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα που ανοίγει σε έναν web browser. Ο κακόβουλος κώδικας εκτελείται στον browser του θύματος, όχι στον διακομιστή, και μπορεί να έχει πολλές επιπτώσεις, συμπεριλαμβανομένης της κλοπής δεδομένων χρηστών, όπως cookies ή συνόδους, την αλλοίωση του περιεχομένου της ιστοσελίδας ή την εκτέλεση επιπλέον επιθέσεων σε βάρος των χρηστών.
Οι βασικές μορφές του XSS περιλαμβάνουν:
Stored XSS (Αποθηκευμένο XSS): Όπου ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων ή σε ένα αρχείο, και εκτελείται κάθε φορά που ο χρήστης ζητάει να δει τη σελίδα.
Reflected XSS (Ανακλιμένο XSS): Όπου ο κακόβουλος κώδικας περνά από τον browser του θύματος μέσω μιας επικίνδυνης URL ή ενός παραμέτρου σε μια σελίδα.
DOM-based XSS (DOM XSS): Όπου ο κακόβουλος κώδικας τροποποιεί το Document Object Model (DOM) στον browser του θύματος, και η επίθεση εκτελείται κατά την προβολή της σελίδας.
Blind XSS: Όπου ο κακόβουλος κώδικας εκτελείται χωρίς να αφήνει άμεσα αντίδραση στον browser του θύματος. Ο επιτιθέμενος δεν βλέπει την έξοδο, αλλά μπορεί να συλλέγει δεδομένα.
Non-persistent XSS: Όπου ο κακόβουλος κώδικας δεν αποθηκεύεται, αλλά παραδίδεται στο θύμα μέσω κακόβουλων συνδέσμων ή μηνυμάτων. Εκτελείται κατά την προβολή της σελίδας.
Το Cross-Site Scripting (XSS) λειτουργεί με τον εξής τρόπο:
Ενσωμάτωση κακόβουλου κώδικα: Ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα, συχνά μέσω εισόδων χρήστη όπως φόρμες, παραμέτρους URL ή σχόλια.
Αποστολή της σελίδας προς το θύμα: Η τροποποιημένη σελίδα στέλνεται στο θύμα, συχνά μέσω κακόβουλων συνδέσμων ή ηλεκτρονικών μηνυμάτων.
Εκτέλεση του κακόβουλου κώδικα: Ο κακόβουλος κώδικας εκτελείται στον web browser του θύματος κατά την προβολή της τροποποιημένης σελίδας. Αυτό συμβαίνει επειδή ο browser εκτελεί όλο τον JavaScript που βρίσκεται στο περιεχόμενο της σελίδας.
Κλοπή δεδομένων ή επιθέσεις: Ο κακόβουλος κώδικας μπορεί να προκαλέσει πολλά διαφορετικά προβλήματα, όπως την κλοπή των cookies σύνδεσης του χρήστη, την αποστολή αιτημάτων εξ’ αποστάσεως εξ ονόματος του χρήστη, την αλλοίωση του περιεχομένου της σελίδας, την απόκτηση προσωπικών πληροφοριών, και πολλά άλλα.
Ο κίνδυνος με το XSS είναι ότι ο κακόβουλος κώδικας εκτελείται με τα δικαιώματα του χρήστη στον browser του, και αυτό μπορεί να έχει επιπτώσεις σε προσωπικά δεδομένα, ευαίσθητες πληροφορίες και την ασφάλεια της σελίδας.
Υπάρχουν διάφορα εργαλεία που μπορείτε να χρησιμοποιήσετε για την εντοπισμό και τον έλεγχο των ευπαθειών Cross-Site Scripting (XSS) σε ιστοσελίδες και εφαρμογές. Αυτά τα εργαλεία σάρωσης και ελέγχου ασφάλειας μπορούν να σας βοηθήσουν να εντοπίσετε και να αποτρέψετε επιθέσεις XSS. Εδώ είναι μερικά από αυτά:
OWASP Zed Attack Proxy (ZAP): Το OWASP ZAP είναι ένα ανοιχτού κώδικα εργαλείο εξερεύνησης ασφαλείας που προσφέρει ανίχνευση και αντιμετώπιση των ευπαθειών XSS, μεταξύ άλλων.
Burp Suite: Το Burp Suite είναι ένα εργαλείο συναχωσίνωσης και ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας εφαρμογών, συμπεριλαμβανομένης της ανίχνευσης ευπαθειών XSS.
Vega: Το Vega είναι ένα ανοιχτού κώδικα εργαλείο ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας των ιστοσελίδων και την ανίχνευση ευπαθειών XSS.
Για παράδειγμα. Αν πάτε στην σελίδα http://testphp.vulnweb.com/ (έχει δημιουργηθεί για να εξασκούνται οι νέοι σε θέματα ασφάλειας ) και αναζητήσετε κάτι παράξενο όπως αδσαδσδσζψσσαδσα θα σας εμφανίσει το παρακάτω μήνυμα
searched for: αδσαδσδσζψσσαδσα
Παρατηρούμε δηλαδή ότι το μήνυμα που πληκτρολογήσαμε εμφανίστηκε στην ιστοσελίδα. Τώρα αν αντικαταστήσουμε αυτό το μήνυμα με κώδικα μπορούμε να πετύχουμε πολύ διαφορετικά αποτελέσματα για παράδειγμα αν γράψουμε
<script>alert("This site is vulnerable to xss")</script>
Τότε θα παρατηρήσουμε ότι ο κώδικας μας εκτελείτε και έτσι μπορούμε να πετύχουμε αποτελέσματα που δεν είχαν προβλεφθεί από τους δημιουργούς του site
Όπως ανέφερα δεν χρησιμοποιείται τόσο για επίθεση στην σελίδα όσο για τους χρήστες που υπάρχουν σε αυτήν.
Πως όμως μπορεί αυτός ο τρόπος να βλάψει τους απλούς χρήστες?
Λοιπόν ο επιτιθέμενος έχει την επιλογή να στείλει το url που περιέχει την ευπάθεια σε άλλους χρήστες που χρησιμοποιούν αυτήν την σελίδα και ο κώδικας θα εκτελεστή στον υπολογιστή τους. Στην σελίδα που κοιτάμε εμείς δεν είναι ορατή η μεταβλητή που περιέχει τα δεδομένα που πληκτρολογήσαμε. Αρά ο επιτιθέμενος σε αυτήν την περίπτωση θα έβλεπε μέσο προγραμμάτων η κώδικα τι μεταβλητές υπάρχουν στο url 🙂
και θα έβρισκε ότι μπορούσε να στείλει κάτι τέτοιο στο θύμα του. (Δεν δουλεύει στην περίπτωση μας)
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("this site is vulnerable to xss")</script>
Αυτό όμως φαίνεται ότι είναι πειραγμένο και ο χρήστης θα μπορούσε να το καταλάβει εύκολα. Αν όμως το κωδικοποιούσαμε ? ο χρήστης θα έβλεπε κάτι τέτοιο στο facebook/skype κλπ
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("Test")</script></script>
Δεν θα έμπαινε στον κόπο να το αποκρυπτογραφήσει και απλά θα το άνοιγε για να δει τη είναι.
Ένας άλλος τρόπος είναι να βρει ευπάθεια σε πράγματα που μένουν για πάντα στο site. πχ σε ένα φόρουμ. Θα μπορούσε να κάνει xss σε κάποιο ποστ και έτσι θα έπεφταν στην παγίδα όλοι όσοι άνοιγαν το θέμα για να το δουν.
Φυσικά δεν θα ήταν τέτοιες εντολές. Η γλώσσα η οποία χρησιμοποιήσαμε λέγετε javascript… Ένας από τους λόγους είναι πως η γλώσσα είναι πιο πλούσια από την html και δίνει την δυνατότητα στον επιτιθέμενο να κλέψει τα cookies και να τα εκμεταλλευτή για να βρει τον κωδικό κάποιου χρήστη
Συναγερμός στον Ιατρικό Κόσμο: Κλοπή Ιατρικών Εγγραφών από Θυγατρική της Fresenius
Η ομάδα Fresenius Medical Care (FMEG.DE) ανακοίνωσε την Τετάρτη ότι δεδομένα, συμπεριλαμβανομένων ιατρικών εγγραφών, για 500.000 ασθενείς και πρώην ασθενείς κλάπηκαν από μια θυγατρική εταιρεία στις Ηνωμένες Πολιτείες.
“Ενδέχεται να έχει επηρεάσει περίπου 500.000 ασθενείς, πρώην ασθενείς, εγγυητές και 200 υπαλλήλους που βρίσκονται σε αρκετές πολιτείες, επικράτειες των Ηνωμένων Πολιτειών και τέσσερις χώρες”, δήλωσε η γερμανική εταιρεία σε ανακοίνωση.
Ανέφερε ότι ξεκίνησε μια έρευνα με τη βοήθεια μιας εταιρείας μετά τον εντοπισμό του περιστατικού από τη θυγατρική εταιρεία Cardiovascular Consultants Ltd στις 29 Σεπτεμβρίου, όταν αντιλήφθηκε μια παραβίαση ασφαλείας που επηρέασε ορισμένα από τα υπολογιστικά συστήματά της στις Ηνωμένες Πολιτείες.
“Η έρευνα απέδειξε ότι σε συγκεκριμένα συστήματα είχαν πρόσβαση και τα δεδομένα κρυπτογραφήθηκαν και κλάπηκαν από τον εισβολέα”, πρόσθεσε.
Η Fresenius Medical δήλωσε ότι δεν προβλέπει ότι το περιστατικό θα έχει ουσιαστικό αντίκτυπο στα οικονομικά και τη λειτουργία της, αλλά θα πρέπει να ληφθούν υπόψη πιθανές μελλοντικές νομικές διαμάχες και πιθανές φήμες.
Τι είναι οι επιθέσεις «ψαρέματος» και πως να τις αποφύγουμε.
Εκατομμύρια επιθέσεις ανά τον κόσμο, γίνονται καθημερινά από κακόβουλους «χάκερ» οι οποίοι θέλουν να υποκλέψουν προσωπικά δεδομένα από χρήστες.
Τις περισσότερες φορές πιστεύουμε πως αν η συσκευή μας είναι ασφαλής, τότε είμαστε και εμείς. Ωστόσο αυτό δεν ισχύει, διότι το μεγαλύτερο θύμα δεν είναι ένα σύστημα, αλλά ο άνθρωπος.
Γιατί όμως είναι ο άνθρωπος και τι κινήσεις μπορούμε να κάνουμε για να είμαστε έστω και λίγο ασφαλής;
Ας μιλήσουμε λοιπόν για τις επιθέσεις «ψαρέματος» γνωστές και ως phishing.
ΤΙ ΕΙΝΑΙ ΤΟ PHISHING?
Η μέθοδος phishing είναι αρκετά γνωστή και χρησιμοποιείται πολύ συχνά από τους «χάκερ». Σίγουρα θα σας έχει σταλεί μήνυμα στο κινητό σας τηλέφωνο από την δήθεν Εθνική Τράπεζα, από το δήθεν ταχυδρομείο για να παραλάβετε το δέμα σας, και άλλα πολλά.
Ο σκοπός λοιπόν του επιτιθέμενου είναι να σας προσελκύσει να πατήσετε τον σύνδεσμο, έτσι ώστε να ανακατευθυνθείτε σε μία σελίδα ΚΛΩΝΟ της ανάλογης official ιστοσελίδας που έχει χρησιμοποιήσει ο χάκερ, να βάλετε τα στοιχεία σας και να προσπαθήσει να πάρει πρόσβαση στους λογαριασμούς σας.
Επίσης ο επιτιθέμενος έχει την δυνατότητα, να σας επισυνάψει ένα αρχείο στέλνοντας στο email σας με το οποίο θα μπορεί να πάρει απομακρυσμένη μη εξουσιοδοτημένη πρόσβαση στην συσκευή σας. Αφού λοιπόν εσύ ανοίξεις το αρχείο, ξεκινάει και το «παιχνίδι» του χάκερ. Παίρνοντας πρόσβαση στην συσκευή σου θα μπορεί με λίγες απλές εντολές να κάνει κάποια βασικά πράγματα όπως: Να ανοίξει την κάμερα σου live, να ηχογραφήσει από το μικρόφωνο, να κατεβάσει αρχεία στην δική του συσκευή και με την ησυχία του μετά να κάτσει να τα επεξεργαστεί ή να «ανεβάσει» αρχεία στην δική σου συσκευή και άλλα πολλά και διάφορα.
ΠΩΣ ΜΠΟΡΩ ΝΑ ΠΡΟΣΤΑΤΕΥΤΩ;
Δεν μπορούμε να εγγυηθούμε πως υπάρχει 100% ασφάλεια για κανέναν λόγο. Το πιο δυνατό σύστημα να έχεις και ο πιο έξυπνος άνθρωπος να είσαι, πάντα θα υπάρξει αυτό το κενό ασφαλείας. Είτε στο σύστημα σου, είτε από την απροσεξία σου.
Όμως, μπορούμε να κάνουμε κάποιες ενέργειες έτσι ώστε να αποφύγουμε κάθε είδους επίθεση phishing. Δεν ανοίγουμε ποτέ συνδέσμους από email, sms τα οποία μας φαίνονται άγνωστα ή περίεργα. Πάντα ελέγχουμε το link να δούμε αν είναι official και από εκεί κρίνουμε αν θα το ανοίξουμε ή όχι.
Δεν ανοίγουμε αρχεία για κανέναν λόγο τύπου (Αφαιρέθηκαν από τον λογαριασμό σας 1.000 ευρώ, κάνε κλικ στο PDF αρχείο για να δεις αναλυτικά) κ.τ.λ.
Μπορεί επίσης κάποιος να παριστάνει κάποιον φίλο σας. Η καλύτερη λύση εκεί ποιά είναι λοιπόν; Όχι πάντως να του στείλετε μήνυμα, αλλά να τον πάρετε κλήση και να τον ρωτήσετε αν ο ίδιος σας έστειλε το αρχείο. Διότι μπορεί ο κακόβουλος χάκερ να έχει φτιάξει ένα παρόμοιο email (ελέγχουμε πολύ καλά τα email) ή να έχει εισβάλει στον λογαριασμό του φίλου σας και να σας στέλνει διάφορα.
ΒΟΗΘΑΕΙ ΤΟ ΝΑ ΕΧΩ ANTIVIRUS ΑΝ ΤΥΧΩΝ ΑΝΟΙΞΩ ΚΑΚΟΒΟΥΛΟ ΑΡΧΕΙΟ;
Εννοείται βοηθάει αλλά όχι σε όλες τις περιπτώσεις. Διότι πλέον υπάρχουν αρκετά προγράμματα τα οποία περνάνε εύκολα το firewall, είτε το ακυρώνουν τελείως με την έναρξη τους.
ΠΩΣ ΜΠΟΡΩ ΝΑ ΔΩ ΑΝ ΕΝΑΣ ΣΥΝΔΕΣΜΟΣ ΕΙΝΑΙ ΚΑΚΟΒΟΥΛΟΣ;
Λοιπόν. Εδώ γίνονται λίγο περίεργα τα πράγματα. Έχουμε ακούσει αρκετές φορές την καραμέλα «Μην βάζετε τα στοιχεία σας στους συνδέσμους». Ωστόσο λίγοι έχουν μιλήσει για το cookie stealing. Τα cookies ουσιαστικά περιέχουν κάποιες πληροφορίες σχετικά με τις συνδέσεις σου και κάποιες άλλες πληροφορίες πάνω στο browser. Δεν θα αναλύσουμε σε αυτό το άρθρο τι είναι ακριβώς αλλά καλό θα ήταν αν σας φαίνεται άγνωστος αυτός που σας στέλνει το μήνυμα να μην το ανοίγεται διότι έστω και με ένα άνοιγμα μπορεί να γίνει υποκλοπή των cookies και να πάρουν πληροφορίες από το Browser σας. (Αν γνωρίζεις κάτι παραπάνω από υπολογιστές και θες να ανοίξεις σύνδεσμο, σου προτείνουμε το burpsuite).
Αν βλέπετε «περίεργη» την διεύθυνση URL , τότε κάτι πάει λάθος. Π.χ πες ότι ο επιτιθέμενος θέλει να σε πείσει ότι είναι από την Εθνική. (Το official site της εθνικής είναι www.nbg.gr) ο επιτιθέμενος λοιπόν μπορεί να έχει τον σύνδεσμο ως εξής “www.nbgg.com.gr”. Μπορείτε να διακρίνετε και μόνοι σας τις διαφορές.
Για το κλείσιμο θα θέλαμε να σας ενημερώσουμε πως δεν είστε μόνοι σας, την έχουμε πατήσει και εμείς όπως και όλοι. Όπως είπαμε και πριν, ο πιο έξυπνος άνθρωπος να είσαι ή ο καλύτερος προγραμματιστής ή ακόμα και χάκερ, υπάρχει περίπτωση να πέσεις στην παγίδα.