website security & wordpress (peter gramantik)

44
Website Security & WordPress co se děje & jak se vyhnout katastrofě

Upload: wcsk

Post on 22-Nov-2014

191 views

Category:

Internet


0 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Website Security & WordPress (Peter Gramantik)

Website Security & WordPress

co se děje & jak se vyhnout katastrofě

Page 2: Website Security & WordPress (Peter Gramantik)

Kdo je P.G. ?!

Specializace:- malware researcher- mobilní malware- “vrtačka”

Page 3: Website Security & WordPress (Peter Gramantik)

Kdo je P.G. ?!

Specializace:- malware researcher- mobilní malware- “vrtačka”

Zájmy:- rock- rybaření

Page 4: Website Security & WordPress (Peter Gramantik)

Kdo je P.G. ?!

Specializace:- malware researcher- mobilní malware- “vrtačka”

Zájmy:- rock- rybaření- malware ;-)

Page 5: Website Security & WordPress (Peter Gramantik)

Sucuri - www.sucuri.net- malware protection

detection alerting cleanup

Page 6: Website Security & WordPress (Peter Gramantik)

Kdo jsme?- Website Security Company- Celosvětová působnost- Všechny webové platformy- Scanování přes 1M unikátních domén / měsíc- Zablokování přes 1M webových útoků / měsíc- čištění cca 300 - 500 web stránek / den- detekce založená na signaturách / heuristice - operace 24/7

Page 7: Website Security & WordPress (Peter Gramantik)

Obsah

Část 1: - statistiky, trendy, pozorování... - & více..

Page 8: Website Security & WordPress (Peter Gramantik)

Obsah

Část 1: - statistiky, trendy, pozorování... - & více..

Část 2: - případová studie

Page 9: Website Security & WordPress (Peter Gramantik)

Obsah

Část 1: - statistiky, trendy, pozorování... - & více..

Část 2: - případová studie (menší nuda)

Page 10: Website Security & WordPress (Peter Gramantik)

O čem to celé je?- počet napadených linků / stránek stoupá

85% infikovaných stránek je hostováno u legitimních (a oblíbených) provozovatelů web hostingu

Malware, nebo alespoň něco jako malware je všude kolem

Page 11: Website Security & WordPress (Peter Gramantik)

Typy malware a jejich distribuce

Page 12: Website Security & WordPress (Peter Gramantik)

Malé stránky v nebezpečí?Otestovali jsme prvních1 000 0000stránek zAlexa Page Rank

Tohle jsou výsledky:

Page 13: Website Security & WordPress (Peter Gramantik)

Malé stránky v nebezpečí?Otestovali jsme prvních1 000 0000stránek zAlexa Page Rank

Tohle jsou výsledky:

Page 14: Website Security & WordPress (Peter Gramantik)

Malé stránky v nebezpečí?Otestovali jsme prvních1 000 0000stránek zAlexa Page Rank

Tohle jsou výsledky:

Page 15: Website Security & WordPress (Peter Gramantik)

Malé stránky v nebezpečí?Otestovali jsme prvních1 000 0000stránek zAlexa Page Rank

Tohle jsou výsledky:

Page 16: Website Security & WordPress (Peter Gramantik)

Malé stránky v nebezpečí?Otestovali jsme prvních1 000 0000stránek zAlexa Page Rank

Tohle jsou výsledky:

Page 17: Website Security & WordPress (Peter Gramantik)

We need to go deeper...

Page 18: Website Security & WordPress (Peter Gramantik)

We need to go deeper...

Page 19: Website Security & WordPress (Peter Gramantik)

Všechno je o přístupu

Page 20: Website Security & WordPress (Peter Gramantik)

Automatizované hackování- Exploze v Malware as a Service (MaaS) obchodu

- zaplaťte si vlastního hackera

- Různé automatické nástroje na hackování a generování payloadu- “script kiddies” vs. profesionální teamy

- Blesková infekce- jeden moment je vše OK, za chvilku.. je to plné hvězd malware

- Blackhole Exploit Kit- Leader v poskytování MaaS

Page 21: Website Security & WordPress (Peter Gramantik)

Co to všechno znamená?- Poškození značky- Právní problémy- Dopad na prodeje- Blacklistování ve vyhledávacích enginech- Blacklistování u platebních služeb- Nejhorší den života...

Page 22: Website Security & WordPress (Peter Gramantik)

Obrana?

Page 23: Website Security & WordPress (Peter Gramantik)

Obrana! Vrstvy

Page 24: Website Security & WordPress (Peter Gramantik)

Obrana!

- Kontrola přístupů- Zranitelnosti- Hosting- Online chování & zvyky- Sociální sítě- Hesla

Page 25: Website Security & WordPress (Peter Gramantik)

Všechno je to o přístupu... “ It’s about risk reduction… risk will never be zero… ”

- všichni to ví, (téměř) nikdo to nedodržuje- bezpečná heslo, brute-force vs. slovníkový útok- jméno vašho zvířecího mazlíčka není bezpečné heslo- pravidelná změna hesla, silné heslo není všechno- spolehlivý password manager? Dobrá volba! - nevěřte nikomu :)- sledujte kdo přistupuje na váš server- SFTP / SSH místo FTP

Page 26: Website Security & WordPress (Peter Gramantik)

Ochranné vrstvy - přístup

Page 27: Website Security & WordPress (Peter Gramantik)

Ochranné vrstvy - zranitelnosti

Page 28: Website Security & WordPress (Peter Gramantik)

Ochranné vrstvy - servry

Page 29: Website Security & WordPress (Peter Gramantik)

Část 2: Případová studie

Příběh jedné naprosto běžné infekce

Page 30: Website Security & WordPress (Peter Gramantik)

Pozadí- bežná honeypot stránka- zranitelnost v přístupu- měsíce čekání, dokud...

Page 31: Website Security & WordPress (Peter Gramantik)

Jak to začalo?

Nejenom pokus, ale někdo se opravdu přilogoval jako admin z následující IP: 188.3.48.163

Page 32: Website Security & WordPress (Peter Gramantik)

Útočník

Zcela zjevně nikdo z kolegů, čas podívat se na to trochu víc

Page 33: Website Security & WordPress (Peter Gramantik)

Logy

Bylo nezbytné zjistit co všechno útočník provedl, takže jsme začali u auditovací funkce v Sucuri pluginu. Hledali jsme a našli...

Page 34: Website Security & WordPress (Peter Gramantik)

Potvrzení známých skutečností

Ano. Konání našeho hackera je dobře viditelné v auditu a samozřejmě i v “syrovém” server access logu. To důležité v server logu najdeme jednoduše korelováním těchto dvou logů.

Page 35: Website Security & WordPress (Peter Gramantik)

Hax0r má problémy

Jeho dalším krokem bylo ověřit si, jestli byl úspěšný, takže se pokusil navštívit stránku 404. Nejdřív přímo v umístění témy, následně v rootu.

Je dobré si všimnout dvou různých chybových kódů po tomto pokusu: 403 a 404. První, 403 říká, že Přístup byl odmítnut. Druhý, 404, říká, že Soubor nebyl nalezen.

403-ka je způsobena naším “zpevněním” v .htaccess uvnitř wp-content, které zabraňuje zpouštění PHP:

404-ka se objevila, protože napadená táma nebyla aktivní. Vzpomínáte? Později změnili tému. Stejně to nevysvětluje, proč nepracovali přímo s aktivní témou. Hackeři se někdy chovají podivně..

Page 36: Website Security & WordPress (Peter Gramantik)

Úspěch

Tak se jim to povedlo a oni si to ověřili. Byli uvnitř...

[01/Nov/2013:13:23:48 -0700] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66718 [01/Nov/2013:13:24:04 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen HTTP/1.1" 200 7810 [01/Nov/2013:13:24:14 -0700] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486 [01/Nov/2013:13:24:20 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66725

After switching theme, they needed to verify:

[01/Nov/2013:13:24:27 -0700] "GET / HTTP/1.1" 200 3001 "-"

Yes, they’ve got the 200 result.

Page 37: Website Security & WordPress (Peter Gramantik)

Kde je zakopaný pes malwareÚtočníci zneužili jinak poměrně užitečnou vlastnost. Abyste pochopili co dělají, musíte pochopit jak WordPress a taky mnoho jiných CMS pracuje.

Mají hierarchii načítání která zpustí PHP soubory patřící k aktivní témě a pluginům. V tomto případě náš útočník vložil infikovaný kód do souborů 404.php a index.php témy z které nasledně udělal aktivní, takže malware kód se načetl. No a jelikož infikovali i (témový) index.php, mohli si otestovat funkčnost načtením přímo rootu stránky “/” - to je to co jste viděli na předchozím slidu.

No a jelikož byli úspěšní, mohli začít pracovat se svým backdoorem posíláním příkazů. Každý z nich nám způsobil jinou obtíž, ale bylo hezké to sledovat. Konec konců, my jsme chtěli být napadeni..

Page 38: Website Security & WordPress (Peter Gramantik)

Nebezpečný Náklad[01/Nov/2013:13:24:32 -0700] "GET /?webr00t=telnet HTTP/1.1" 200 2805

Kompletní analýza je mimo rámec téhle prezentace, ale ve zkratce:

další BACKDOOR

Page 39: Website Security & WordPress (Peter Gramantik)

Nové ohlédnutí do logů

Následně útočníci používají další backdoor funkci:

Nyní už víme co dělají. Ale proč .root soubory a jak to funguje? Odpověď je v modifikovaném .htaccess souboru:

[01/Nov/2013:13:24:59 -0700] “GET /?webr00t=config HTTP/1.1″ 200 2828 “http://www.[honeypot].com/?webr00t=telnet”

Page 40: Website Security & WordPress (Peter Gramantik)

Ještě to nestačilo?Jeden z příkazů backdooru byl “config”. Co dělá?

Nyní již máme kompletně napadenou stránku, navíc se symlinkama všude možně, takže útočník má přístup v podstatě k čemukoliv na servru. Není to hezké? A už to stačilo?

V tomto momentu můžou útočníci dělat cokoliv. Krást data, uploadovat další soubory / skripty a užívat server k dalším akcím. Co bylo dál?

Page 41: Website Security & WordPress (Peter Gramantik)

Velké finálePo detailní analýze jsme zjistili, že útočníci stáhli další data ze sdíleného servru. Věci jako /etc/passwd a další soubory. Každá z funkcí backdooru byla naprogramována tak aby provedla automatizovanou a kompletníútočnou sekvenci, takže poměrně složitý útok byla jenom otázka pár “kliků”. Když skončili, zanechali nám malý dárek - zlikvidovanou stránku, což je celkem neobvyklé:

Page 42: Website Security & WordPress (Peter Gramantik)

Proč?Jednoduše proto, že mohli. Podle všeho se chtěli jenom ukázat. Název našeho honeypotu byl nejspíš také poněkud vybízející takže nám zkrátka zanechali jedno velké virtuální LOL. Další možností je, že jim to prostě bylo jedno...

Na základě analýzy jejich akcí a web-shellu samotného to vypadá, že se zaměřili na servrová data. Věci jako existující uživatelské účy a podobně. Zničení stránky nebylo nic víc než jedno velké FU na konci jejich pracovního dne. V každém případě, sledování takovýchto incidentů je vždy zábava, ale také se neustále učíme. Útočníci jsou téměř vždy o krok napřed.

A jak nám zničili stránku?

Nejdříve prostě smazali wp-includes a wp-admin, následně navíc přidali nový .htaccess do rootu který znemožní spuštění jakéhokoliv PHP kódu.A to je všechno...

Page 44: Website Security & WordPress (Peter Gramantik)

Děkuji za pozornost!...a dejte si pozor...

Na všecno ;-)