Les attaques brute force contre WordPress

Quelques informations concernant une famille de malware/virus utilisé pour effectuer des attaques brute-force contre les sites WordPress.

Malware Bruteforce Auth WordPress

Hier je suis tombé sur un malware relativement intéressant. Ce dernier créé une clef RUN : HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Google Update Services
Jusque là, des plus classiques.WP_Bruteforcer8 Au lancement, le malware se connecte sur l’adrese 74.121.150.39 sur le port 22501 afin d’y récupérer des informations. Ces dernières sont chiffrées. WP_Bruteforcer   puis une série de POST s’ensuit. Les connexions sont assez rapides, ce qui peux saturer la machine. Comme on peux le constater, les connexions se font sur la page de Login de WordPress. WP_Bruteforcer2 WP_Bruteforcer3 WP_Bruteforcer4   On peux alors récupérer les tentatives de connexion : WP_Bruteforcer5 WP_Bruteforcer7 WP_Bruteforcer8 WP_Bruteforcer9 WP_Bruteforcer10 En Avril, sucuri avait alerté sur une attack Bruteforce sur WordPress :  http://blog.sucuri.net/2013/04/the-wordpress-brute-force-attack-timeline.html
Difficile de dire, si ce malware en est la source.
Les attaques par dictionnaires sont donc encore pas mal en vogue, d’où les conseils habituels de ne pas utiliser de mot de passe s’y trouvant 🙂 Sample : http://malwaredb.malekal.com/index.php?&hash=ba33f1dcf9c6caf114e3010afc68ddc4

EDIT 17 septembre

Pas mal de tentatives sur le site depuis quelques jours : Rewrite_Wordpress_bruteforce4 Ce qui est trop con, c’est que le bruteforce test l’user malekal, alors qu’il suffit de voir dans les articles postés que ce n’est pas celui que j’utilise …. Rewrite_Wordpress_bruteforce3 Comme ça me gonflait, j’ai mis en place un rewrite (c’est surtout l’objet de cet EDIT, ça peux aider ) qui permet bloquer les POSTs et n’autoriser qu’à des IPs ou classes d’IPs :

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !^83\.202\.[0-9]+\.[0-9]+
RewriteRule ^wp-login.php$ - [F]

On peut déclarer plusieurs lignes classe d’IPs avec plusieurs lignes REMOTE_ADDR. Du coup avec un proxy, tintin : Rewrite_Wordpress_bruteforce et pour moi, ça POST : Rewrite_Wordpress_bruteforce2 Ce qui donne des 403 sur les tentatives 🙂 WordPress_Bruteforce

EDIT – 20 Juillet : WordPress Bruteforcer de retour via wp.getUsersBlogs API

Hier soir j’ai noté une grosse attaque sur le forum :

wordpress_attack

Un POST sur /xmlrpc.php en utilisant la méthode wp.getUsersBlogs.
C’est donc à nouveau une tentative d’authentification.

wordpress_attack2La liste des IPs: https://www.malekal.com/download/xmlrpc_bruteforce_attack.txt
Environ 5000 IPs uniques.
Le dictionnaire utilisée pour l’attaque : https://www.malekal.com/download/xmlrpc_bruteforce_attack_dico.txt

EDIT – Trojan Sathurbot

Le Trojan prend le contrôle de la machine infectée et effectue des attaques par brute force pour infecter des sites WordPress.
Ces attaques permettent de trouver des accès à ces sites en trouvant des accès avec des mots de passe faibles.
Les sites sont ensuite modifiés par les pirates pour proposer des Torrent malicieux, avec des pages WEB de téléchargement torrent ajoutées par les pirates.
Si un utilisateur télécharge ce dernier, il est susceptible d’infecter son ordinateur et joindre le botnet pour suivre l’attaque.
Sathurbot installe aussi d’autres trojans (Trojan-PWS.Fareit) pour voler des mots de passe et données contenues sur l’ordinateur.

Sathurbot fonctionne par une injection de DLL dans explorer.exe ce qui permet le contrôle ce dernier.
Les connexions réseaux sont effectuées par le processus explorer.exe pour tirer profit de règles pare-feu trop peux restrictives.

Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :

Print Friendly
(Visité 180 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet