iranserver.com
August 13th, 2017, 22:43
اخیرا افزایش چشمگیری در تعداد وبسایت های آلوده به بدافزاری که ما آنرا TrafficTrarde می نامیم دیده می شود. این بدافزار در واقع تکه ای کد جاوا اسکریپت است که یک مهاجم وقتی محتوای سایت شما را دستکاری کرد وارد سایت تان می کند. پس از آن بازدیدکنندگان سایت شما به پلاگین های های مرورگر آلوده منتقل می شوند یا اینکه شروع به تولید اسپم های تبلیغاتی می کند.
TrafficTrade چگونه وبسایت تان را آلوده می کند؟ تیم خدمات امنیتی Wordfence دو روش متفاوت آلوده سازی را کشف کرده است. دسته اول وبسایت هایی هستند که اسکریپت searchreplacedb2.php را حذف نکرده اند. این دسته آلودگی ها کمی غیر رایج می باشد. اما دسته دوم رایج ترین روش است. این آسیب پذیری به مهاجمین اجازه می دهد تا کدهای مخربی را به داخل جدول wp_options تزریق کرده و آنرا به صفحات مخرب یا کمپین های تبلیغاتی انتقال دهد.
Wordfence یک قاعده فایروال پیشرفته را حدود ۴۰ روز پیش منتشر کرد که جلوی بهره برداری مهاجمین از تم روزنامه ای را می گیرد. شما حتی اگر یک تم آسیب پذیر داشته باشید، با قاعده فوق در امان خواهید ماند. نمودار زیر به خوبی نشان می دهد که چگونه توزیع حملات بوسیله تم روزنامه ای تصرف شده است. حملات روی searchreplacedb2.php تنها ۴% از کل حملات طی هفته های اخیر بوده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bugwordpress1-300x246.png
نحوه صعود کمپین ( مرکز اصلی/مرکز تجمع) حمله TrafficTrade.life
بعنوان مثال دامنه traffictrade.life در تاریخ ۳ جولای ۲۰۱۷، حدود یک ماه قبل، ثبت شده بوده است. این دامنه بوسیله WhoisGuard حفاظت می شود که شرکتیست پانامایی که خدمات ثبت دومین بی نام ارائه می کند.
https://blog.iranserver.com/wp-content/uploads/2017/08/whois-300x204.png
از تاریخ ۱۰ جولای حملاتی که سعی داشتند بدافزارهایی با انتقال های مخرب که در آدرس traffictrade.life میزبانی می شدند را شیوع دهند مشاهده شده است. تعداد کل حملات در هر روز از ۱ عدد تا نهایتاً ۶۳۰ عدد متغیر بوده است. اما به ناگاه در هفته گذشته همه چیزهایی که باید اتفاق میوفتاد اتفاق افتاد که می توانید در نمودار زیر مشاهده کنید. حدود ۱۵۰۰۰ حمله در روز که همه سعی داشتند انتقال مخرب خود را به آدرس traffictrade.life انجام دهند، مشاهده شد.
https://blog.iranserver.com/wp-content/uploads/2017/08/bugwordpress2-300x267.png
حتی Google Trends افزایش چشمگیری در تعداد دفعات جستجوی عبارت traffictrade در بازه زمانی انتهای جولای که تعداد حملات صعود کردند و وب مسترها شروع به جستجوی گوگل برای دریافت کمک کردند را نشان می دهد.
کاری که بدافزار TrafficTrade روی سایت شما انجام می دهد
به محض آلوده شدن توسط TrafficTrade، این بدافزار جاوا اسکریپتی که از دومین TrafficTrade.life بارگذاری می شود را به سایت تزریق می کند. خود اسکریپت خیلی ساده است. اگر URL آنرا دستی وارد کنید چیزی شبیه:
https://blog.iranserver.com/wp-content/uploads/2017/08/bug-300x89.png
می باشد.
این کد بازدیدکنندگان شما را به دومین trafficreceiver منتقل می کند که آن نیز شما را به هر کمپینی که در حال برگزاری باشد منتقل می کند. در مورد آزمایشی که من (نویسنده متن) انجام دادم، شما به سایتی منتقل می شوید که از شما می خواهد یک پلاگین Chrome را نصب کنید- غالباً آلوده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bug4-300x195.png
این حملات از کجا می آیند؟ اکثر حملات کشف شده و آنهایی که کد انتقال مخرب TrafficTrade را بارگذاری کرده اند از ۴ IP زیر می آیند:
۷۹٫۱۱۰٫۱۲۸٫۱۲۸ – ۱۳,۶۹۸ حمله
۷۹٫۱۱۰٫۱۲۸٫۱۷ – ۱۱,۰۷۱ حمله
۷۹٫۱۱۰٫۱۲۸٫۶۳ – ۴,۷۹۸ حمله
۷۹٫۱۱۰٫۱۲۸٫۲۵۲ – ۶۰۷ حمله
ما در حال جستجوی حملاتی هستیم که از صدها IP دیگر نیز نشات گرفته باشند اما اعداد بدست آمده از سایر IP ها تا اینجای کار خیلی کم بوده اند – نهایتا دو رقمی. اما اعداد بالا مهمترین مهاجمین تا بدینجای ماجرا هستند.
اما اعداد فوق به UnderNet LLC مستقر در کیف اوکراین تعلق دارند. این IPها بخشی از ۲۰۴۸ آدرس در محدوده ۷۹٫۱۱۰٫۱۲۸٫۰ – ۷۹٫۱۱۰٫۱۳۵٫۲۵۵ هستند. وبسایت UnderNet LLC در آدرس under.net.ua قرار دارد و صفحه اصلی آن بشکل زیر است:
https://blog.iranserver.com/wp-content/uploads/2017/08/site-300x210.png
تغییر در هاستینگ و تاکتیکها در تاریخ ۳۱ جولای بازیگرانی که پشت حمله TrafficTrade قرار دارند تا تاریخ ۳۱ جولای از یک شرکت هاستینگ به ضعم خودش «غیر قابل نفوذ» استفاده می کردند. سرورهای آنها در HostSailor هلند واقع شده ببود که Brian Kerbs به تفصیل در آگوست ۲۰۱۶ در مورد آنها نوشته است. بر اساس نوشته Kerbs، HostSailor تاریخچه پرباری از میزبانی محتویات و خدمات آلوده و مخرب داشته است؛ درست مانند مالکش!
در تاریخ ۳۱ جولای، کمپین آدرس اصلی IP و تاکتیک خود را همزمان تغییر داد. آدرس IP ای که دامنه traffictrade.life به آن اشاره می کرد از ۱۸۵٫۱۸۳٫۹۶٫۳۳ که در HostSailor هلند میزبانی می شد به ۲۰۰٫۷٫۱۰۵٫۴۳ که در «HZ Hosting Ltd» معروف به HostZealot میزبانی می شود تغییر کرد.
وبسایت HostZealot در آدرس www.hostzealot.com (http://www.hostzealot.com) قرار دارد و شرکت مطبوعش در شهر Plovdiv در بلفارستان واقع شده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bulgaria-300x221.png
در همان تاریخ تغییر در تاکتیک ها نیز مشاهده شده است. مهاجمین از تلاش برای بهره برداری از searchreplacdb2.php به تلاش برای بهره برداری از تم روزنامه ای وردپرس تغییر تاکتیک دادند. آمار حملات در همان تاریخ با تغییر IP دامنه افزایش وحشتناکی را نشان داد. ۱۵۰۰۰ حمله در روز مشاهده میشد.
همانطور که نمودار زیر نشان می دهد، مهاجمین بلافاصله پس از سوئیچ نمودن به HostZealot تعداد حملات را به ۱۵۰۰۰ در روز افزایش دادند.
https://blog.iranserver.com/wp-content/uploads/2017/08/bug6-300x267.png
احتمالا دلیل مهاجمین برای سوئیچ کردن از HostSailor این بوده که HostSailor توسط بسیاری از شرکتهای امنیتی و فایروالهای آنلاین، من جمله Wordfence، در لیست سیاه قرار گرفته بود. لذا احتمالا سوئیچ کردن به یک میزبان غیرقابل نفوذ کمتر شناخته شده باعث شده که بتوانند از لیستهای سیاه و فایروالها عبور کنند.
منبع :
ایران سرور (https://blog.iranserver.com/traffictrade/)
TrafficTrade چگونه وبسایت تان را آلوده می کند؟ تیم خدمات امنیتی Wordfence دو روش متفاوت آلوده سازی را کشف کرده است. دسته اول وبسایت هایی هستند که اسکریپت searchreplacedb2.php را حذف نکرده اند. این دسته آلودگی ها کمی غیر رایج می باشد. اما دسته دوم رایج ترین روش است. این آسیب پذیری به مهاجمین اجازه می دهد تا کدهای مخربی را به داخل جدول wp_options تزریق کرده و آنرا به صفحات مخرب یا کمپین های تبلیغاتی انتقال دهد.
Wordfence یک قاعده فایروال پیشرفته را حدود ۴۰ روز پیش منتشر کرد که جلوی بهره برداری مهاجمین از تم روزنامه ای را می گیرد. شما حتی اگر یک تم آسیب پذیر داشته باشید، با قاعده فوق در امان خواهید ماند. نمودار زیر به خوبی نشان می دهد که چگونه توزیع حملات بوسیله تم روزنامه ای تصرف شده است. حملات روی searchreplacedb2.php تنها ۴% از کل حملات طی هفته های اخیر بوده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bugwordpress1-300x246.png
نحوه صعود کمپین ( مرکز اصلی/مرکز تجمع) حمله TrafficTrade.life
بعنوان مثال دامنه traffictrade.life در تاریخ ۳ جولای ۲۰۱۷، حدود یک ماه قبل، ثبت شده بوده است. این دامنه بوسیله WhoisGuard حفاظت می شود که شرکتیست پانامایی که خدمات ثبت دومین بی نام ارائه می کند.
https://blog.iranserver.com/wp-content/uploads/2017/08/whois-300x204.png
از تاریخ ۱۰ جولای حملاتی که سعی داشتند بدافزارهایی با انتقال های مخرب که در آدرس traffictrade.life میزبانی می شدند را شیوع دهند مشاهده شده است. تعداد کل حملات در هر روز از ۱ عدد تا نهایتاً ۶۳۰ عدد متغیر بوده است. اما به ناگاه در هفته گذشته همه چیزهایی که باید اتفاق میوفتاد اتفاق افتاد که می توانید در نمودار زیر مشاهده کنید. حدود ۱۵۰۰۰ حمله در روز که همه سعی داشتند انتقال مخرب خود را به آدرس traffictrade.life انجام دهند، مشاهده شد.
https://blog.iranserver.com/wp-content/uploads/2017/08/bugwordpress2-300x267.png
حتی Google Trends افزایش چشمگیری در تعداد دفعات جستجوی عبارت traffictrade در بازه زمانی انتهای جولای که تعداد حملات صعود کردند و وب مسترها شروع به جستجوی گوگل برای دریافت کمک کردند را نشان می دهد.
کاری که بدافزار TrafficTrade روی سایت شما انجام می دهد
به محض آلوده شدن توسط TrafficTrade، این بدافزار جاوا اسکریپتی که از دومین TrafficTrade.life بارگذاری می شود را به سایت تزریق می کند. خود اسکریپت خیلی ساده است. اگر URL آنرا دستی وارد کنید چیزی شبیه:
https://blog.iranserver.com/wp-content/uploads/2017/08/bug-300x89.png
می باشد.
این کد بازدیدکنندگان شما را به دومین trafficreceiver منتقل می کند که آن نیز شما را به هر کمپینی که در حال برگزاری باشد منتقل می کند. در مورد آزمایشی که من (نویسنده متن) انجام دادم، شما به سایتی منتقل می شوید که از شما می خواهد یک پلاگین Chrome را نصب کنید- غالباً آلوده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bug4-300x195.png
این حملات از کجا می آیند؟ اکثر حملات کشف شده و آنهایی که کد انتقال مخرب TrafficTrade را بارگذاری کرده اند از ۴ IP زیر می آیند:
۷۹٫۱۱۰٫۱۲۸٫۱۲۸ – ۱۳,۶۹۸ حمله
۷۹٫۱۱۰٫۱۲۸٫۱۷ – ۱۱,۰۷۱ حمله
۷۹٫۱۱۰٫۱۲۸٫۶۳ – ۴,۷۹۸ حمله
۷۹٫۱۱۰٫۱۲۸٫۲۵۲ – ۶۰۷ حمله
ما در حال جستجوی حملاتی هستیم که از صدها IP دیگر نیز نشات گرفته باشند اما اعداد بدست آمده از سایر IP ها تا اینجای کار خیلی کم بوده اند – نهایتا دو رقمی. اما اعداد بالا مهمترین مهاجمین تا بدینجای ماجرا هستند.
اما اعداد فوق به UnderNet LLC مستقر در کیف اوکراین تعلق دارند. این IPها بخشی از ۲۰۴۸ آدرس در محدوده ۷۹٫۱۱۰٫۱۲۸٫۰ – ۷۹٫۱۱۰٫۱۳۵٫۲۵۵ هستند. وبسایت UnderNet LLC در آدرس under.net.ua قرار دارد و صفحه اصلی آن بشکل زیر است:
https://blog.iranserver.com/wp-content/uploads/2017/08/site-300x210.png
تغییر در هاستینگ و تاکتیکها در تاریخ ۳۱ جولای بازیگرانی که پشت حمله TrafficTrade قرار دارند تا تاریخ ۳۱ جولای از یک شرکت هاستینگ به ضعم خودش «غیر قابل نفوذ» استفاده می کردند. سرورهای آنها در HostSailor هلند واقع شده ببود که Brian Kerbs به تفصیل در آگوست ۲۰۱۶ در مورد آنها نوشته است. بر اساس نوشته Kerbs، HostSailor تاریخچه پرباری از میزبانی محتویات و خدمات آلوده و مخرب داشته است؛ درست مانند مالکش!
در تاریخ ۳۱ جولای، کمپین آدرس اصلی IP و تاکتیک خود را همزمان تغییر داد. آدرس IP ای که دامنه traffictrade.life به آن اشاره می کرد از ۱۸۵٫۱۸۳٫۹۶٫۳۳ که در HostSailor هلند میزبانی می شد به ۲۰۰٫۷٫۱۰۵٫۴۳ که در «HZ Hosting Ltd» معروف به HostZealot میزبانی می شود تغییر کرد.
وبسایت HostZealot در آدرس www.hostzealot.com (http://www.hostzealot.com) قرار دارد و شرکت مطبوعش در شهر Plovdiv در بلفارستان واقع شده است.
https://blog.iranserver.com/wp-content/uploads/2017/08/bulgaria-300x221.png
در همان تاریخ تغییر در تاکتیک ها نیز مشاهده شده است. مهاجمین از تلاش برای بهره برداری از searchreplacdb2.php به تلاش برای بهره برداری از تم روزنامه ای وردپرس تغییر تاکتیک دادند. آمار حملات در همان تاریخ با تغییر IP دامنه افزایش وحشتناکی را نشان داد. ۱۵۰۰۰ حمله در روز مشاهده میشد.
همانطور که نمودار زیر نشان می دهد، مهاجمین بلافاصله پس از سوئیچ نمودن به HostZealot تعداد حملات را به ۱۵۰۰۰ در روز افزایش دادند.
https://blog.iranserver.com/wp-content/uploads/2017/08/bug6-300x267.png
احتمالا دلیل مهاجمین برای سوئیچ کردن از HostSailor این بوده که HostSailor توسط بسیاری از شرکتهای امنیتی و فایروالهای آنلاین، من جمله Wordfence، در لیست سیاه قرار گرفته بود. لذا احتمالا سوئیچ کردن به یک میزبان غیرقابل نفوذ کمتر شناخته شده باعث شده که بتوانند از لیستهای سیاه و فایروالها عبور کنند.
منبع :
ایران سرور (https://blog.iranserver.com/traffictrade/)