Mining-Attacke auf WordPress Seiten

Mark Maunder und sein Team von Wordfence haben diese Woche eine massive Attacke auf WordPress-Seitenbetreiber bemerkt und konnten die Hintergründe des Angriffs aufdecken.

Bereits am Montag, den 18.12.2017, hat das Wordfence-Team einen extrem hohen Anstieg an Brute Force Attacken auf WordPress-Seiten festgestellt. Nach eigenen Angaben handelte es sich um die intensivste Serie von Angriffen, die Wordfence jemals aufgezeichnet hat. Die anfängliche Vermutung, es handle sich um ein einzelnes Botnet, welches diesen Sturm der WordPress-Angriffe ausführt, hat sich später bestätigt.

Wordfence ist es gelungen einige IP-Adressen des Botnets zu isolieren und mit früheren Angriffen, Protokollen und Firewall-Logdaten zu vergleichen. Dabei erzielte das Security-Team einige Treffer und hatte die Möglichkeit die Angreifer weiter einzukreisen bzw. zu verfolgen. Dabei hat das Team von Wordfence ein paar sehr interessante Entdeckungen gemacht.

 

Erste Anzeichen des Angriffs

Es begann als das Hosting-Unternehmen eines Wordfence-Kunden eine Meldung über einen Missbrauch bzw. unerlaubte Zugriffe erhielt, einschließlich der Protokolle fehlgeschlagener WordPress-Anmeldeversuche vom Server des Kunden. Der Kundenserver hatte so viele Angriffe ausgeführt, um schließlich auf der IP-Blacklist von Wordfence zu landen! Allein am vergangenen Montag waren es über 100.000 fehlgeschlagene Login-Versuche auf fremden WordPress-Seiten.

Der Kundenserver auf dem WordPress mit dem Wordfence Plugin installiert war, konnte von Mark Maunders Team untersucht werden, weil der Betreiber so freundlich war und die Login-Daten zur Verfügung gestellt hat. Dabei haben die Techniker eine unerwartete Entdeckung gemacht:

Monero Mining Attack

Der Screenshot oben zeigt die CPU-Ressourcen des Servers, welche von lang laufenden Apache-Prozessen verbraucht wurden. Ebenso einen seltsamen Prozess namens „29473“, der mehr Ressourcen als alle andere Server-Prozesse verwendete.

Außerdem wurden tausende ausgehende Verbindungen festgestellt, die sich mit anderen Servern auf dem Port 80 verbunden.

Monero Hacking Backdoor

Mit anderen Worten: Der betroffene Kundenserver (172.25.*.*) hat sich mit tausenden anderen Webservern verbunden. Zudem haben die Spezialisten von Wordfence festgestellt, dass der seltsame Dienst „29473“ permanent mit zwei IP-Adressen die Verbindung hält.

  • 66.70.190.236 an Port 9090. Diese kanadische IP-Adresse gehört OVH, einem Cloud-Computing-Unternehmen mit Sitz in Frankreich. Es scheint weder einen Domain-Namen noch irgendwelche historischen Domain-Daten zu dieser IP-Adresse zu geben. Wordfence hat die Adresse bzw. die Ports der Adresse gescannt und nur zwei offene Ports gefunden: einen mit SSH und einen Port 9090 mit einem IRC-Server.
  • 185.61.149.22 an Port 8080. Diese IP-Adresse gehört zu einem Netzwerk namens „Makonix SIA“ in Lettland. Auch zu dieser IP-Adresse gehört keine Domain. Der Netzwerkscan von Wordfence hat mehrere offene Ports gefunden. Einer von den Ports war ein SSH-Server und der Rest schien auf einen Webserver hinzudeuten, der alle Anfragen mit dem Text „Mining Proxy Online“ beantwortet hat!

Ab diesem Zeitpunkt war den Wordfence-Mitarbeitern klar, welche Ziele die Angreifer auf dem Kundenserver und wohlmöglich noch auf anderen Servern verfolgen. Die Kommunikation mit dem IRC-Server dient für gewöhnlich Command & Control Befehlen. Ein Prozess, der enorme Verarbeitungsleistung verbraucht und mit einem „Mining-Proxy“ kommuniziert, muss ein Krypto-Währungsminer sein. Fast sicher für Monero, da dass Mining mit normalen Prozessoren statt mit Grafikprozessoren ablaufen kann. Die tausenden Verbindungen zu den anderen Webservern sind wahrscheinlich die Brute-Force-Angriffe auf WordPress-Seiten, von denen Wordfence weiß, dass sie von diesem Server stammen.

 

 

 

 

Die Kommunikation der Angreifer abgefangen

Das Wordfence-Team hat via tcpdump den Netzwerkverkehr zu den beiden oben genannten IP-Adressen aufgezeichnet. Währenddessen wurden außerdem Dateien gesammelt, der Speicher gesichert und die laufenden Prozesse gespeichert. Das meiste der Command & Control Befehle konnte Wordfence über die Netzwerkaufzeichnungen erfassen. Zum Glück war der IRC-Verkehr nicht verschlüsselt, was es viel einfacher machte zu verstehen, was die Angreifer im Schilde führen. Basierend auf dem Datenverkehr und der Analyse einiger Samples, die Wordfence gefunden hat, scheint die installierte Malware eine Variante der Software-Schädlinge „Tsunami“ oder „Kaiten“ (Linux Trojan/Backdoor) zu sein.

 

Das Netzwerk der Angreifer

Wordfence hat acht Command & Control Server identifiziert, die alle den IRC-Daemon auf Port 8080 oder 9090 betreiben. Jeder hatte einen Namen, der einem Muster folgte, zum Beispiel sind die ersten vier Server in der Liste alle bei OVH gehostet, und ihre Namen lauten muhstik.ovh1 bis muhstik.ovh4.

  • 66.70.190.236:9090 muhstik.ovh1
  • 142.44.163.168:9090 muhstik.ovh2
  • 192.99.71.250:9090 muhstik.ovh3
  • 142.44.240.14:9090 muhstik.ovh4
  • 202.165.193.211:8080 x.1
  • 202.165.193.212:8080 x.2
  • 211.103.199.98:8080 x.4
  • 121.128.171.44:9090 muhstik.ras1

 

Erste Befehle der Angreifer

Das Befehlsprotokoll ist ziemlich einfach. Die Schädlings-Software tritt dem IRC-Server bei und setzt ihren Benutzernamen auf eine Zeichenfolge, die einige Informationen über den Server enthält, auf dem sie ausgeführt wird. Unten folgt ein Screenshot aus den Paketerfassungen. Der Datenverkehr des gehackten Servers ist in rot dargestellt und den Netzwerkverkehr des Angreifer-Servers in blau. In diesem Beispiel enthält der Nickname „x86“ (zeigt an, dass es sich nicht um einen 64-Bit-Server handelt) und den Hostnamen (der hier redigiert ist). Nun erhält die Schädlings-Anwendung Befehle über private Nachrichten von anderen Bots oder Benutzern.

Monero IRC Hacking

Der Server scheint Verbindungen ohne große Hürden zu anzunehmen. Es wird lediglich auf die korrekte Formatierung beim Hinzufügen von Benutzern, dem Antworten von Nachrichten usw. geachtet.

 

 

 

 

Angriff!

Der Großteil der vom Angreifer stammenden Befehle entsprach:

  • Download eines Skripts von einem Server
  • Ausführen des Skripts im Hintergrund

Die Angriffs-Befehle werden in regelmäßigen Abständen gesendet und durchlaufen immer wieder verschiedene Methoden zum Herunterladen des Skripts (wget, curl usw.). Es scheint, dass diese Befehle automatisch gesendet werden, wahrscheinlich um sicherzustellen, dass das schädliche Skript erneut gestartet wird, wenn es abstürzt oder beendet wird.

Wordfence hat zudem ein paar weitere Befehle entdeckt, die Informationen über den kompromittierten Server sammeln sollen. Einige von ihnen schienen wie automatisierte Statusüberprüfungen, aber tatsächlich wurden auch einige manuelle Aktivitäten gesichtet. Das konnte durch einen Tippfehler festgestellt werden, weil der Angreifer zunächst den ungültigen Befehl „iptime“ und dann einen Moment später die korrekte Schreibweise „uptime“ sendete.

Allem Anschein nach haben die Angreifer eine eigene automatisierte Version des Crypto-Miners kompiliert, starteten aber in einigen Fällen per manuellem Befehl zusätzliche Mining-Anwendungen.

 

Schädlingsverhalten und -Persistenz

Die installierte Malware bzw. Schädlingssoftware war kein Rootkit – glücklicherweise läuft sie über ein reguläres Benutzerkonto auf dem Server. Wenn die Angreifer-Software startet, erzeugt es eine Kopie von sich selbst, allerdings mit einem anderen Dateinamen. Vermutlich wählt es den neuen Dateinamen per Zufall aus bestehenden Daten die auf dem Server liegen.

Wie bereits oben erwähnt wurde die Angreifer-Software unter dem Namen „29473“ gefunden, aber sie wurde auf dem Kundenserver ebenfalls unter dem Namen „Python“ und einigen anderen üblichen Programmnamen gefunden.

Das Team von Wordfence hat unterschiedliche Varianten der Schadsoftware auf dem Kundenserver gefunden. Die meisten von ihnen wurden so entworfen, dass sie beim Start ihre eigene Datei von der Festplatte löschen. Auf diese Weise kann die Datei, selbst nach eingespielten Updates für die Antiviren-Software, nicht mehr identifiziert werden. In diesem Fall ist es ratsam auch den Speicher erneut zu scannen und überwachen zu lassen.

Für die Persistenz installiert sich die Schadsoftware selbst als Cron-Job, der jede Sekunde ausgeführt wurde:

/var/www/vhosts/###ZENSIERT###.com/wp-content/plugins/bash > /dev/null 2>&1 &

Neue Attacken oder Updates im Anmarsch?

Die Schad-Software lauscht nach Verbindungen auf hohen TCP-Ports (z.B. 61008 und 63008), es konnte aber kein Traffic auf diesen Ports festgestellt werden.

 

Die Brute-Force-Angriffe

Natürlich ist die Malware auch für die Brute-Force-Attacken verantwortlich. Basierend auf den Beobachtungen von Wordfence verwendet die Software eine Kombination aus gängigen Passwortlisten und Heuristiken basierend auf dem Domainnamen und dem Inhalt der angegriffenen Webseiten – einschließlich Namen, Nutzernamen und Wörtern aus Content und Textdateien.

So würden für PurpleDropTeam.com Login-Daten wie diese z.B. verwendet werden:

User: admin / Passwort: 12345
User: gast / Passwort: test123

oder auch basierend auf Content-/Heuristik-Verfahren:

User: purpledropteam / Passwort: steven
User: steven / Passwort: marketingwaffen

Interessanterweise konnte bei den Brute-Force-Attacken beobachtet werden, dass auch Systeme angegriffen wurden, die keinen Domain-Namen verwenden und nicht auf den Standard-Ports erreichbar sind.

Das bedeutet im Klartext, dass auch vermeintlich versteckte Webseiten angegriffen wurden!

Weitere Webseiten, unter anderem die Entwicklungsseite des Kunden, wurden ebenfalls auf dem Server gehostet und nicht mit dem Wordfence Plugin oder anderen Schutzmechanismen abgesichert. Diese Leichtfertigkeit führte letzten Endes dazu, dass die Angreifer in das WordPress-System einbrechen konnten und Admin-Rechte erlangt haben.

Bei der Installation von Wordfence oder einer anderen WP-Firewall wäre die Installation der Hintertüren nicht möglich gewesen, oder der Administrator hätte zumindest eine Alarm-Email erhalten.

Zusätzlich haben die Angreifer die meisten PHP-Dateien mit einer Zeile Quellcode infiziert:

Monero Infection

Auch diesen Code hätte jedes gängige Security-Plugin wie Wordfence und andere einwandfrei identifiziert und die Code Injuction verhindert.

 

 

 

 

Das Ziel der Angreifer – Krypto-Mining

Einige der schädlichen Programmversionen enthielten die Monero-Mining-Software XMRig. In den meisten Fällen hat der Angreifer ihn so konfiguriert, dass er einen von mehreren Proxies durchläuft. Daher kann die Wallet-Adresse des Miners nicht identifiziert werden.

Allerdings führte der Angreifer in einigen Fällen manuelle Mining-Befehle aus, die auf pool.supportxmr.com zeigten. Der Befehl enthielt in diesen Fällen die Wallet-Adresse des Angreifers. Die beiden Wallet-Adressen die mit dem Angriff in Verbindung gebracht werden konnten sind

45Fj1P2s9LiVEVoW4p81cSKP5og6GSF3m9YUQc51o6KzXw1ByufNoTa88NEWBeE7dtjRZRCDj3Ly4a95by6sfzP3UmX3741

und

4ADnikPPkTpD39LunWcMA136o2m2uwnEhheKNmfQPv5kAFsQaxr2VsLeit5GEPdEkd9TxnAkzinWhK8LUFzxmTuc5rT1YDK

Mining-Performance und Auszahlungen der Monero-Wallets können hier geprüft werden: https://supportxmr.com/#/dashboard

Plötzlich liegt der Grund für die rasenden Brute-Force-Attacken auf der Hand. Zu Beginn diesen Monats hatte der Kurs von Monero kaum die $200 Grenze erreicht. Im Anschluss ist sein Wert ist dann rapide angestiegen und erreichte am Tag vor den Angriffen 378 USD. Die Kryptowährung Monero ist so konzipiert, dass das Mining mit normalen CPUs funktioniert und trotzdem ist es nicht einfach mit dem Mining eine große Menge an Coins einzusammeln.

Selbst für einen Hacker, der kompromittierte Server für das Mining verwendet, lohnte sich die Rendite beim Monero-Mining kaum – bis vor kurzem.

Die beiden genannten Monero-Wallet-Adressen, die sicherlich nur einen Bruchteil der Mining-Power des Angreifers darstellen, haben zusammen etwa 218 XMR erhalten. Bis vor ein paar Tagen waren das noch ca. 100.000 USD. Schlussendlich ist der Angreifer aufs Ganze gegangen, und hat versucht in kürzester Zeit so viel Server wie es nur geht zu kompromittieren.

Stand heute muss Monero einen Kurseinfall von ca. 40% hinnehmen, womit die obigen 100.000 USD nicht mehr stimmt. Allerdings wird sich der Kurs nach diversen Prognosen wieder erholen.

 

Neue Angriffwellen

Seit der ersten Meldung der Brute-Force-Attacke am Montag, die von Wordfence veröffentlicht wurde, ist die Anzahl der Angriffe stark am Schwanken. Sicher ist auf jeden Fall, dass die Angreifer kompromittierte WordPress-Sites verwenden um sowohl Brute-Force-Angriffe zu starten, als auch Kryptowährung zu schürfen. Diese Tatsache und das Aufkommen der Angriffswellen lässt die Vermutung zu, dass die Angreifer die Ressourcen der gekidnappten Server zwischen den beiden Aufgaben je nach Bedarf einsetzen.

Bei der letzten großen Angriffswelle war die Anzahl der angreifenden IP-Adressen, sprich WordPress-Systeme die übernommen wurden und nun neue Webseiten angreifen, im Verhältnis zu der Anzahl an Angriffen deutlich höher. Anschließend ging die Anzahl der Angreifer wieder stark zurück, was ebenso darauf hindeutet das die Ressourcen der gekaperten Systeme nach dem Großangriff wieder für das Mining eingesetzt wurden.

 

Zusammenfassung der Attacke

Zusammengefasst nutzt der Angreifer hochentwickelte Malware, um kompromittierte WordPress-Server remote zu kontrollieren. Die Server werden sowohl für Angriffe auf andere WordPress-Seiten als auch für das Mining von Monero eingesetzt, einer Kryptowährung, die mit Hilfe von Webserver-Hardware effizient gemint werden kann. Über die Monero-Wallets kann bewiesen werden, dass der oder die Angreifer bereits 218 XMR durch das Mining verdient haben. Wahrscheinlich ist die Dunkelziffer um ein Vielfaches höher.

 

Gegen WordPress-Angriffe schützen

  • Wordfence Plugin runter laden und einen kompletten Scan starten
  • Server-Ressourcen prüfen! Kompromittierte Systeme auf denen Mining-Software läuft haben eine permanent starke CPU-Auslastung

 

Achtung!

Sollte die eigene WordPress-Seite schädliche Software enthalten, oder ist der Web-Server von Schad-Software übernommen, landet die Domain/IP-Adresse bald auf sogenannten schwarzen Listen, weil Angriffe von der Adresse ausgehen. Das hat imense Nachteile für die Online-Reputation, SEO, Email-Verkehr und vieles mehr!

 

Software Engineer & Marketing Architect

About Steven Rohner

Software Engineer & Marketing Architect

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.