Šī ļaunprātīgā programmatūra pirmo reizi tika pamanīta 2017. gadā, un tā ir inficējusi vairāk nekā miljonu vietņu, kurās darbojas WordPress. Lūk, kas jums jāzina.

WordPress nav svešinieki kiberuzbrukumos, un tagad tas ir cietis no jauna, ar kuru ir inficēts vairāk nekā viens miljons vietņu. Šī ļaunprātīgā kampaņa ir notikusi, izmantojot sava veida ļaunprātīgu programmatūru, kas pazīstama kā Balada Injector. Bet kā šī ļaunprogrammatūra darbojas un kā tai izdevās inficēt vairāk nekā miljonu WordPress vietņu?

Balada Injector ļaunprātīgas programmatūras pamati

Balada inžektors (pirmo reizi tāds tika izveidots a Dr Web ziņojums) ir ļaunprātīgas programmatūras programma, kas tiek izmantota kopš 2017. gada, kad sākās šī milzīgā WordPress infekcijas kampaņa. Balada Injector ir uz Linux balstīta aizmugures ļaunprātīga programmatūra, ko izmanto, lai iefiltrētos vietnēs.

Aizmugurējo durvju ļaunprātīga programmatūra un vīrusi var apiet tipiskās pieteikšanās vai autentifikācijas metodes, ļaujot uzbrucējam piekļūt vietnes izstrādātāja galam. No šejienes uzbrucējs var veikt neatļautas izmaiņas, nozagt vērtīgus datus un pat pilnībā slēgt vietni.

Aizmugures durvis izmanto vietņu nepilnības, lai iegūtu nesankcionētu piekļuvi. Daudzām vietnēm ir viena vai vairākas nepilnības (pazīstamas arī kā drošības ievainojamības), tāpēc daudziem hakeriem nav grūti atrast ceļu.

Tātad, kā kibernoziedzniekiem izdevās uzlauzt vairāk nekā miljonu WordPress vietņu, izmantojot Balada Injector?

Kā Balada inficēja vairāk nekā miljonu WordPress vietņu?

2023. gada aprīlī kiberdrošības uzņēmums Sucuri ziņoja par ļaunprātīgu kampaņu, kuru tas bija izsekojis kopš 2017. gada. Iekš Sucuri emuāra ieraksts, tika norādīts, ka 2023. gadā uzņēmuma SiteCheck skeneris konstatēja Balada Injector klātbūtni vairāk nekā 140 000 reižu. Tika konstatēts, ka vienai vietnei ir uzbrukts šokējoši 311 reizes, izmantojot 11 dažādas Balada Injector variācijas.

Sucuri arī paziņoja, ka tam ir "vairāk nekā 100 parakstu, kas aptver gan servera failos ievadītās ļaunprātīgās programmatūras priekšgala, gan aizmugures versijas. un WordPress datu bāzes." Uzņēmums pamanīja, ka Balada Injector infekcijas parasti notiek viļņveidīgi, un biežums palielinās ik pēc dažām nedēļām.

Lai inficētu tik daudz WordPress vietņu, Balada Injector īpaši mērķēja uz platformas motīvu un spraudņu ievainojamībām. WordPress saviem lietotājiem piedāvā tūkstošiem spraudņu un plašu interfeisa motīvu klāstu, no kuriem daži iepriekš ir bijuši citu hakeru mērķauditorijā.

Īpaši interesanti ir tas, ka Balada kampaņas ievainojamības jau ir zināmas. Dažas no šīm ievainojamībām tika atzītas pirms gadiem, bet citas tika atklātas tikai nesen. Balada Injector mērķis ir palikt inficētajā vietnē ilgi pēc tā izvietošanas, pat ja tā izmantotais spraudnis saņem atjauninājumu.

Iepriekš minētajā emuāra ierakstā Sucuri uzskaitīja vairākas infekcijas metodes, kas izmantotas Balada izvietošanai, tostarp:

  • HTML injekcijas.
  • Datu bāzes injekcijas.
  • Vietnes URL injekcijas.
  • Patvaļīgas failu injekcijas.

Turklāt Balada Injector izmanto String.fromCharCode kā apmulsumu, lai kiberdrošības pētniekiem būtu grūtāk to atklāt un uztvert jebkādus modeļus uzbrukuma tehnikā.

Hakeri inficē WordPress vietnes ar Balada, lai novirzītu lietotājus uz krāpnieciskām lapām, piemēram, viltotām loterijām, paziņojumu krāpniecību un viltus tehnoloģiju pārskatu platformām. Balada var arī izfiltrēt vērtīgu informāciju no inficēto vietņu datu bāzēm.

Kā izvairīties no Balada inžektoru uzbrukumiem

Ir dažas prakses, ko var izmantot, lai izvairītos no Balada Injector, piemēram:

  • Regulāra vietnes programmatūras atjaunināšana (tostarp motīvi un spraudņi).
  • Regulāra programmatūras tīrīšana.
  • Aktivizēšana divu faktoru autentifikācija.
  • Izmantojot spēcīgas paroles.
  • Vietnes administratora atļauju ierobežošana.
  • Failu integritātes kontroles sistēmu ieviešana.
  • Vietējās izstrādes vides failu turēšana atsevišķi no servera failiem.
  • Datu bāzes paroļu maiņa pēc jebkāda kompromisa.

Veicot šādas darbības, varat aizsargāt savu WordPress vietni no Balada. Sucuri ir arī a WordPress tīrīšanas rokasgrāmata ko varat izmantot, lai jūsu vietnē nebūtu ļaunprātīgas programmatūras.

Balada inžektors joprojām ir brīvs

Rakstīšanas laikā Balada Injector joprojām darbojas un inficē vietnes. Kamēr šī ļaunprogrammatūra nav pilnībā apturēta, tā turpina radīt risku WordPress lietotājiem. Lai gan ir šokējoši dzirdēt, cik daudz vietņu tas jau ir inficēts, jūs, par laimi, neesat pilnīgi bezpalīdzīgs pret aizmugures ievainojamību un ļaunprātīgu programmatūru, piemēram, Balada, kas izmanto šos trūkumus.