Użytkownicy WordPress oraz Joomla na celowniku botnetu SpamTorte

5 grudnia, 2016

Ten incydent nie jest wyjątkiem kiedy administratorzy serwisów opartych o CMS WordPress oraz Joomla zmagają się z cyberatakami na skutek nieodpowiedniej polityki serwisowania własnych lub outsourcing’owanych portali. Po raz pierwszy na ślad botnetu nazwanego później Torte natknęli się pracownicy Symatec’u w 2014 r. Rok później poznaliśmy szczegóły działania i jego rozmiary, szacowane na 83000 serwerów. Agresorzy wykorzystywali strony zarządzane przez systemy zarządzania treścią Joomla i WordPress do rozsyłania spamu. Przepustką umożliwiającą proceder okazały się pluginy i motywy oferowane użytkownikom tych CMS’ów.

W bieżącym roku omawiany botnet przemianowany na SpamTorte ukazał się światu po swoistej ewolucji – specjaliści amerykańskiej firmy Verint oceniają jego siłę na „zaledwie” kilka tysięcy kontrolowanych urządzeń (za pośrednictwem webshell). Poprzednia wersja funkcjonowała w strukturze czteropoziomowej, obecnie SpamTorte wykorzystuje pięciopoziomowy system, na szczycie którego znajduje się serwer zarządzający (C&C).

SpamTorte Structure
Struktura botnetu SpamTorte.

Kierujący botnetem za cel obrali tylko i wyłącznie serwery pracujące pod Linuxem. Po zainfekowaniu ofiary pobierany jest zawierający malware plik ELF. Co ciekawe dane są pobierane wielokrotnie i w dowolnym czasie, co pozwala na aktualizowanie się złośliwego oprogramowania.

SpamTorte ELF
Komunikacja z C&C pobierająca malware w pliku ELF ze strony self3. theluckypages.com. Plik ELF zawierał zahardkodowane instrukcje do komunikacji z C&C. 

Kolejnym krokiem jest nawiązanie połączenia z serwerami drugiej warstwy, które dostarczają przygotowane szablony wiadomości e-mail.

SpamTorte mail
Przykładowe szablony wiadomości typu spam i skrypt napisany w języku Python, który dekodował zaszyfrowane wiadomości.

Zadaniem maszyn z poziomu trzeciego jest natomiast dostarczenie adresów poczty elektronicznej na które mają trafić niepożądane wiadomości.

Serwery pracujące na czwartym poziomie „dzielą się” z ofiarą adresami URL mającymi znaleźć się w otrzymanych wcześniej szablonach, dodatkowo zawierają identyfikatory ułatwiające zarządzającym botnetem i śledzenie poszczególnych emisji spamu.

Finalnym etapem jest powstanie wiadomości z pobranych wcześniej komponentów i przesłanie ich w postaci zaszyfrowanej (base64 oraz XOR) do serwerów piątej warstwy. Na tym poziomie już czekają skrypty rozsyłające niepożądane wiadomości.

SpamTorte spam
Przykładowy spam reklamujący viagrę.

SpamTorte rozsyła spam odnoszący się do stron przeznaczonych dla osób pełnoletnich jak i stron oferujących produkty farmaceutyczne. Działając pod obecną postacią jest trudny do wykrycia i zwalczenia, blokowani są jedynie nieświadomi nadawcy, podczas gdy serwery kontrolujące i koordynujące nielegalną działalność tak naprawdę pozostają w ukryciu.

Właścicielom stron oraz osobom, które odpowiadają za bezpieczeństwo serwisów opartych o popularne CMS’y zalecamy aktualizację rdzenia do najnowszej wersji (o ile jest to możliwe), oraz zaktualizowanie (w przypadków serwerów dedykowanych i VPS) usług HTTP, FTP, DNS i poczty. W przypadku tego ostatniego, blokowanie plików .vbs, .scr, .pif, .exe, .bat oraz plików z podwójnym rozszerzeniem, jest praktyką niezbędną.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]