Les attaques brute force contre WordPress

Quelques informations concernant une famille de malware/virus utilisé pour effectuer des attaques brute-force contre les sites WordPress.

Le but de ces malwares est d’utiliser des ordinateurs en Windows afin d’effectuer des attaques par brute-forces sur WordPress.

Malware Bruteforce Auth WordPress

Hier je suis tombé sur un malware relativement intéressant. Ce dernier créé une clef RUN : HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Google Update Services

WP_Bruteforcer8

Jusque là, des plus classiques.
Au lancement, le malware se connecte sur l’adrese 74.121.150.39 sur le port 22501 afin d’y récupérer des informations. Ces dernières sont chiffrées.  

WP_Bruteforcer

puis une série de POST s’ensuit. Les connexions sont assez rapides, ce qui peux saturer la machine. Comme on peux le constater, les connexions se font sur la page de Login de WordPress.  

WP_Bruteforcer2
WP_Bruteforcer3
WP_Bruteforcer4
WP_Bruteforcer5
WP_Bruteforcer7

On peut alors récupérer les tentatives de connexion :
En Avril, sucuri avait alerté sur une attack Bruteforce sur WordPress : http://blog.sucuri.net/2013/04/the-wordpress-brute-force-attack-timeline.html
Difficile de dire, si ce malware en est la source.

WP_Bruteforcer8
WP_Bruteforcer9
WP_Bruteforcer10

Les attaques par dictionnaires sont donc encore pas mal en vogue, d’où les conseils habituels de ne pas utiliser de mot de passe s’y trouvant 🙂 Sample : http://malwaredb.malekal.com/index.php?&hash=ba33f1dcf9c6caf114e3010afc68ddc4

EDIT 17 septembre

Pas mal de tentatives sur le site depuis quelques jours : Ce qui est trop con, c’est que le bruteforce test l’user malekal, alors qu’il suffit de voir dans les articles postés que ce n’est pas celui que j’utilise ….

Rewrite_Wordpress_bruteforce4
Rewrite_Wordpress_bruteforce3

Comme ça me gonflait, j’ai mis en place un rewrite (c’est surtout l’objet de cet EDIT, ça peux aider ) qui permet bloquer les POSTs et n’autoriser qu’à des IPs ou classes d’IPs :

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !^83\.202\.[0-9]+\.[0-9]+
RewriteRule ^wp-login.php$ - [F]
Rewrite_Wordpress_bruteforce
Rewrite_Wordpress_bruteforce2
WordPress_Bruteforce

On peut déclarer plusieurs lignes classe d’IPs avec plusieurs lignes REMOTE_ADDR. Du coup avec un proxy, tintin : et pour moi, ça POST : Ce qui donne des 403 sur les tentatives 🙂

EDIT – 20 Juillet : WordPress Bruteforcer de retour via wp.getUsersBlogs API

Hier soir j’ai noté une grosse attaque sur le forum :

wordpress_attack

Un POST sur /xmlrpc.php en utilisant la méthode wp.getUsersBlogs.
C’est donc à nouveau une tentative d’authentification.

wordpress_attack2

La liste des IPs: https://www.malekal.com/download/xmlrpc_bruteforce_attack.txt
Environ 5000 IPs uniques.
Le dictionnaire utilisée pour l’attaque : https://www.malekal.com/download/xmlrpc_bruteforce_attack_dico.txt

EDIT – Trojan Sathurbot

Le Trojan prend le contrôle de la machine infectée et effectue des attaques par brute force pour infecter des sites WordPress.
Ces attaques permettent de trouver des accès à ces sites en trouvant des accès avec des mots de passe faibles.
Les sites sont ensuite modifiés par les pirates pour proposer des Torrent malicieux, avec des pages WEB de téléchargement torrent ajoutées par les pirates.

Si un utilisateur télécharge ce dernier, il est susceptible d’infecter son ordinateur et joindre le botnet pour suivre l’attaque.
Sathurbot installe aussi d’autres trojans (Trojan-PWS.Fareit) pour voler des mots de passe et données contenues sur l’ordinateur.

Sathurbot fonctionne par une injection de DLL dans explorer.exe ce qui permet le contrôle ce dernier.
Les connexions réseaux sont effectuées par le processus explorer.exe pour tirer profit de règles pare-feu trop peux restrictives.

Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :

(Visité 267 fois, 1 visites ce jour)
Noter cet article

Add Comment