Bycie na bieżąco ze stale zmieniającym się krajobrazem bezpieczeństwa jest niezbędne do utrzymania bezpieczeństwa serwerów internetowych i utrzymywania potencjalnych zagrożeń na dystans.
Istnieje kilka kluczowych zagrożeń dla serwerów internetowych, o których należy wiedzieć, aby zapobiegać tym zagrożeniom i je ograniczać. Ataki DoS i DDoS, zastrzyki SQL, niezałatane oprogramowanie i skrypty między witrynami, żeby wymienić tylko kilka.
Niedawne odkrycie dokonane przez badaczy zagrożeń firmy Avast ujawniło dziś bezpośrednie i znaczące ryzyko dla twórców stron internetowych na całym świecie, zwane Parrot TDS.
Co to jest TDS?
Systemy kierowania ruchem (TDS) nie są nowością. Od kilku lat są wrogiem twórców stron internetowych. Używany jako strony docelowe, które kierują niczego niepodejrzewających użytkowników do złośliwej zawartości, TDS służy jako brama do prowadzenia różnych złośliwych kampanii za pośrednictwem zainfekowanych witryn.
Wiele TDS osiągnęło wysoki poziom wyrafinowania i często umożliwia atakującym ustawienie parametrów sprawdzających lokalizację geograficzną użytkowników, typ przeglądarki, pliki cookie i witrynę, z której pochodzą.
Wykorzystuje się to do atakowania ofiar, które spełniają określone warunki i wyświetlają im jedynie strony phishingowe. Ustawienia te są zwykle skonfigurowane w taki sposób, że każdy użytkownik widzi stronę phishingową tylko raz, aby zapobiec przeciążeniu serwerów.
ich td
W lutym badacze zagrożeń firmy Avast odkryli rój ataków, w których do kontrolowania urządzeń ofiar wykorzystywano nowy system sterowania ruchem (TDS). Nowy TDS, nazwany Parrot TDS, pojawił się w ostatnich miesiącach i dotarł już do setek tysięcy użytkowników na całym świecie, infekując kilka serwerów internetowych obsługujących ponad 16.500 XNUMX stron internetowych.
Jednym z głównych czynników odróżniających Parrot TDS od innych TDS jest jego rozprzestrzenianie się i liczba potencjalnych ofiar. Od 1 marca 2022 r. do 29 marca 2022 r. Avast chronił ponad 600 000 unikalnych użytkowników na całym świecie, którzy odwiedzili witryny zainfekowane przez Parrot TDS, w tym ponad 11 000 użytkowników w Wielkiej Brytanii. W tym okresie Avast chronił najwięcej użytkowników w Brazylii (73 000) i Indiach (55.000 31.000); i ponad XNUMX XNUMX unikalnych użytkowników w Stanach Zjednoczonych.
W tym konkretnym przypadku wygląd zainfekowanych witryn zmienia się poprzez kampanię o nazwie FakeUpdate, która wykorzystuje JavaScript do wyświetlania fałszywych powiadomień, które umożliwiają użytkownikom aktualizację przeglądarek, oferując plik aktualizacji do pobrania. Plik, który zaobserwowaliśmy dostarczany ofiarom, to narzędzie zdalnego dostępu o nazwie NetSupport Manager, które jest niewłaściwie wykorzystywane przez osoby atakujące w celu zapewnienia im pełnego dostępu do komputerów ofiar.
Parrot TDS tworzy także backdoory na zainfekowanych serwerach internetowych w formie skryptu PHP, który służy atakującemu jako opcja zapasowa.
Fałszywa aktualizacja
Podobnie jak Parrot TDS, FakeUpdate również przeprowadza wstępne skanowanie w celu zebrania informacji o osobie odwiedzającej witrynę przed wyświetleniem wiadomości phishingowej. Skanowanie sprawdza, który produkt antywirusowy znajduje się na urządzeniu, aby określić, czy wyświetlić wiadomość phishingową.
Rozproszone narzędzie jest skonfigurowane w taki sposób, że jest bardzo mało prawdopodobne, że użytkownik go zauważy, a jeśli ofiara uruchomi plik wyświetlany przez FakeUpdate, atakujący uzyskają pełny dostęp do swojego komputera.
Badacze zaobserwowali inne witryny phishingowe hostowane na stronach zainfekowanych Parrot TDS, ale nie mogą jednoznacznie powiązać ich z Parrot TDS.
Strony internetowe z systemem CMS
Uważamy, że napastnicy wykorzystują serwery internetowe mniej bezpiecznych systemów zarządzania treścią, takich jak witryny WordPress i Joomla, logując się na konta ze słabymi danymi uwierzytelniającymi, aby uzyskać dostęp administratora do serwerów.
WordPress ma długą historię bycia bardzo bogatym i pożądanym celem luk w zabezpieczeniach. Dzieje się tak, ponieważ oprogramowanie opiera się na uruchamianiu szeregu skryptów PHP, co jest popularnym miejscem ataków hakerów. Duża liczba komponentów, w tym wtyczek, motywów i innych skryptów, utrudnia zapobieganie infekcjom lub potencjalnym kompromisom.
Co więcej, wiele witryn WordPress ma starsze wersje, co może powodować wiele głównych wydań, prowadzących do niezałatanych luk w zabezpieczeniach. Dodatkowo niektórzy administratorzy nie mają doświadczenia w bezpieczeństwie operacyjnym IT lub są po prostu przeciążeni innymi obowiązkami i nie mogą poświęcić wystarczającej ilości czasu na wdrożenie środków bezpieczeństwa niezbędnych do zapewnienia bezpieczeństwa witryny WordPress.
Jak programiści mogą chronić swoje serwery
Twórcy stron internetowych mogą jednak podjąć pewne kroki, aby chronić swoje serwery przed tymi atakami, zaczynając od prostego przeskanowania wszystkich plików na serwerze internetowym za pomocą programu antywirusowego. Inne kroki, jakie mogą podjąć programiści, obejmują:
- Zamień wszystkie pliki JavaScript i PHP na serwerze WWW na oryginalne pliki
- Korzystaj z najnowszej wersji CMS-a
- Korzystaj z najnowszych wersji zainstalowanych wtyczek
- Sprawdź, czy na serwerze WWW nie działają automatycznie zadania (np. zadania cron)
- Zweryfikuj i skonfiguruj bezpieczne poświadczenia oraz używaj unikalnych poświadczeń dla każdej usługi
- Sprawdź konta administratorów na serwerze, upewniając się, że każde z nich jest własnością programistów i ma silne hasła
- Jeśli ma to zastosowanie, skonfiguruj 2FA dla wszystkich kont administratorów serwera WWW
- Użyj dostępnych wtyczek zabezpieczających (WordPress, Joomla)
Jak odwiedzający witrynę mogą uniknąć wyłudzenia danych
Dla osób odwiedzających witrynę zachowanie czujności w Internecie jest ważniejsze niż kiedykolwiek. Jeśli odwiedzana witryna wygląda inaczej, niż się spodziewali, odwiedzający powinni opuścić witrynę i nie pobierać plików ani nie wprowadzać żadnych informacji.
Ponadto odwiedzający powinni pobierać aktualizacje wyłącznie bezpośrednio z ustawień przeglądarki, a nigdy innymi kanałami.