WordPress Hack aus 2016

WordPress Hack aus 2016 vewendet WordPress als Command- und Control-Server

Ein WordPress Hack aus 2016 sollte wahrscheinlich darauf abzielen die US-Wahl zu stören, wie aus einem Bericht der Homeland Security hervor ging. Dem WordPress Sicherheitsunternehmen Wordfence liegt hierbei die Analyse des „Enhanced Grizzly Steppe Report“ mit allen Daten vor. Ursächlich für den Hack waren wohl vorhandene Sicherheitslücken in den entsprechenden WordPress Webseiten, welche eine SQL-Injection erlaubten.

Hintergründe

„Grizzly Steppe“ ist der Name, welchen die US-Geheimdienste (speziell FBI und DHS)für zivile und militärische russische Nachendienste mit dem Hintergrund die US-Wahlen zu manipulieren.

Am 29.12.2016 veröffentlichten die US-Geheimdienste den Grizzly Steppe“-Bericht aus dem bereits mehrere Indikatoren der IOC’s hervorgehen. Diese Indikatoren bestätigen das Vorhandensein von Tools, welche die Angreifer aus dem Bericht verwendeten.

Am Tag nach dem Originalbericht hat Wordfence seine eigene Analyse der Daten durchgeführt und die im Bericht beschriebene PHP-Malware nachgebaut.

Am Freitag dem 10.02.2017 hat DHS eine erweiterete Analyse zu Grizzly Steppe mit mehreren neun IOC’s veröffentlicht. Dieser Bericht enthält 17 PHP-Malware Beispiele. Diese enthalten verschiedene P.A.S Malware Varianten, welche Wordfence zuvor nachgebaut hat.

Der Bericht enthält zudem 9 zusätzliche Domainnamen, welche für die Angriffe verwendet wurden. Im Folgenden Beitrag legt Wordfence den Fokus auf eine dieser Domains, welche für die Attacken verwendet wurden.

Die Cyber-Kill-Kette

Wordpress Hack aus 2016 - Die Cyber-Kill-Kette von Wordfence

Diese bebilderte Darstellung dient der Community die Wege des Einbruchs nachzuvollziehen. Diese ist auch im jüngsten „Grizzly Steppe“-Bericht enthalten. Wordfence nutzt diese Grafik zu Analyse wie WordPress ein Teil dieser Angriffe wurde.

Wie WordPress ein Teil dieser Angriffe wurde

Eines der Malware Beispiele aus dem „Grizzly Steppe“-Bericht ist eine Wondows-DLL.

Wordpress Hack aus 2016 - Die Windows-DLL

Laut dem Bericht bietet die Malware eine Reihe von Funktionen für die Angreifer:

“The program provides an operator access to a reverse shell on the victim system. Additionally, the malware provides an operator the capability to enumerate the victims Windows Certificate Store, and extract identified digital certificates, including private keys. The application also allows an operator to enumerate all physical drives and network resources the victim system has access to.”

Die Malware ist relativ neu in der Sicherheits-Community und erschien nur in VirusTotal am 29.12.2016, als auch „Grizzly Steppe“ veröffentlicht wurde.

Diese MAlware fällt in den Installations-Schritt der oben aufgezeigten Kill-Kette. Um verwendet werden zu können, muss die Malware mit dem Angreifer kommunizieren können. Hierfür kommt ein Command- und Control- oder C2-Server zum Einsatz.

WordPress als Command- und Control-Server für Windows-Malware

Im erweiterten „Grizzly Steppe“-Bericht kommuniziert die Malware mit der Webseite cderlearn.com. Der Bericht sgat aus:

Die Anwendung versucht Daten von einem C2-Server herunterzuladen und im Benutzer-Temp Verzsichnis eine beliebige Datei zu speichern. Einige bei den Wordfence-Tests angelegten Dateien lauten wie folgt:

  • TEMP\Cab5.tmp
  • TEMP\Tar6.tmp
  • TEMP\Cab7.tmp
  • TEMP\Tar8.tmp

Wordfence’s Analyse von cderlearn.com – Wie diese kompromittiert und genutzt wurde

Die Webseite, mit die Malware kommuniziert ist eine Seite welche WordPress basiert. Ein Blick auf archive.org verrät, dass diese Webseite seit mindestens dem14.03.2016 besteht.

Wordpress Hack aus 2016 - Archive.org Ergebnis zu cderlearn.com

Wenn man sich nun vom Archive.org-Ergebnis den Quelltext ansieht, sieht man, dass ein Plugin Namens Affiliate-WP in Version 1.5.6 ausgeführt wurde.

Wordpress Hack aus 2016 - Archive.org Quelltext zu cderlearn.com

Am 16.03.2015, also genau ein Jahr zuvor, hat der Anbieter des Plugins eine Sicherheitslücke für SQL-Injections bekannt gegeben.

Wordpress Hack aus 2016 - Ankündigung AffiliateWP

Die Webseite cderlearn.com hat somit eine veraltete Version des Plugins genutzt, welches sehr wahrscheinlich dann kompromittiert wurde.

Die Webseite wurde dann als Command- und Control-Server (C2-Server) von der Malware verwendet, welche dem Angreifer als Remote-Zugang zu kompromittierten Windows-PC dient. Der DHS-Bericht enhält einige Aufzeichnungen des Netzwerkverkehrs zwischen Malware und der Webseite.

Wordpress Hack aus 2016 - Kommunikation Malware > Webseite“></a></p>
<p>Die Maleware sendet hierbei POST-Anfragen an ein Skript mit dem Namen search.cfm, welches Bestandteil der Command- und Control Maleware auf cdlearn.com ist. Wie Sie sehen, ist dieses Skript als Cols-Fusion-Skript verschleiert.</p>
<p>Die Webseitenbetreiber haben hier scheinbar auch bis heute nicht reagiert und verwenden weiterhin das alte AffiliateWP-Plugin und somit auch die Sicherheitslücken.</p>
<h3>Fazit</h3>
<p>Im Beispiel wurde eine kompromittierte WordPress-Webseite im „Command- und Control“_Schritt der Kill-Kette zur Fernmanipulation des mit Malware infizierten Windows-PC’s verwendet. Wie man sehen kann handelt es sich hierbei um anspruchsvolle Angriffe, welche mehrere voneinander getrennte Hacks zur Erreichung der Ziele benötigen. Eine WordPress Seite zu kompromittieren und diese als Command- und Control-Server zu verwenden ist nur einer dieser Schritte. Es ist aber ein wichtiger Schritt damit der Angreifer seine Ziele erreichen kann.</p>
<p>Wenn wir über die Sicherheoit unserer WordPress-Webseite(n) nachdenken, denken wir meist nur an den Schutz der eigenen Daten oder an die Auswirkungen für sich selbst oder sein Unternehmen. Das Beispiel von oben verdeutlicht aber, dass kompromittierte Webseiten ein teil einer ausgeklügelten Kill-Kette sind, welche zum Beispiel den Ausgang von Wahlen manipulieren können.</p>
<p>Sichern Sie Ihre Webseiten daher auch mit einer Firewall und Malwarescanner (wie z.B. <a href=Wordfence). Dies ist nicht nur wichtig um Ihre eigenen Interessen und Daten zu schützen, sodnern auch das Internet als Ganzes sicherer zu machen

Den originalen Artikel von Wordfence können Sie hier lesen. Die verwendeten Bilder stammen ebenfalls aus dem Artikel und wurden lediglich verlinkt