Botnet infecta a cientos de miles de sitios web



KashmirBlack se ha dirigido a sistemas de gestión de contenido populares, como WordPress, Joomla y Drupal, y ha utilizado Dropbox y GitHub para la comunicación para ocultar su presencia.

Una botnet centrada en la criptominería, el spam y la desfiguración ha infectado a cientos de miles de sitios website que ejecutan sistemas de gestión de contenido (CMS) populares, como WordPress, Joomla, Magneto y Drupal, según la firma de seguridad en línea Imperva.

La botnet, denominada KashmirBlack, utiliza una infraestructura modular que incluye características como comunicaciones de equilibrio de carga con servidores de comando y management y almacenamiento de archivos en servicios de almacenamiento en la nube, como Dropbox y GitHub, para acelerar el acceso a cualquier nueva actualización de código para los sistemas. infectado con el program. La botnet KashmirBlack infecta principalmente plataformas CMS populares, explotando docenas de vulnerabilidades conocidas en servidores específicos y realizando millones de ataques por día en promedio, según un par de informes publicados hoy por investigadores de Imperva.

Los CMS a menudo no se mantienen actualizados y, por lo tanto, pueden explotarse con vulnerabilidades públicas, dice Ofir Shaty, líder tecnológico de analista de seguridad de Imperva y uno de los autores de los informes. «El enfoque en los sistemas de gestión de contenido es interesante», dice. «Eligieron algo en lo que sería más fácil tener éxito con la explotación, lo que les dio la capacidad de aumentar rápidamente el tamaño de la botnet».

Para recopilar información sobre la botnet de casi un año, los investigadores se hicieron pasar por un servidor infectado en la botnet y también crearon un servidor honeypot que ejecutaba uno de los portales CMS específicos. El «servidor de propagación» permitió a los investigadores recopilar comandos y scripts que se comunicaron a la botnet. Cuando se configuraba un sitio comprometido para que continuara difundiendo el program bot, los investigadores descubrieron que atacaría un promedio de 240 hosts, o 3.450 sitios víctimas, cada día.

Con 285 sistemas observados que intentaron difundir el program bot durante varios meses y una tasa de éxito asumida del 1%, los investigadores estimaron que unos 230.000 sitios se habían visto comprometidos durante los últimos 11 meses.

«Durante nuestra investigación, fuimos testigos de su evolución de una botnet de volumen medio con capacidades básicas a una infraestructura masiva que llegó para quedarse», dijeron los investigadores. concluido en los informes.

La arquitectura de alto rendimiento de la botnet, diseñada para facilitar la actualización, impresionó a los investigadores. La botnet utiliza dos grupos de sistemas infectados como repositorios de código y exploits, y divide los sistemas comprometidos en aquellos que buscan activamente nuevos bots y un grupo más grande que espera instrucciones. Se agregaron funciones de equilibrio de carga a los repositorios para aumentar la capacidad de respuesta y la disponibilidad, dijeron los investigadores.

Además, la botnet ha cambiado rápidamente durante los últimos 11 meses. En septiembre, por ejemplo, los operadores de la botnet cambiaron la capacidad de comando y command para usar la API de Dropbox para almacenar registros de sus operaciones y recuperar comandos, señalaron los investigadores en los informes.

«Lo importante aquí es entender que la actividad de las botnets es dinámica», dice Nadav Avital, jefe de investigación de amenazas en Imperva y uno de los autores. «No es como si pudieras bloquear o poner una regla de seguridad una vez y terminar con eso. La botnet evoluciona, cambia, implementa nuevas técnicas de evasión, a veces todos los días, todas las semanas o todos los meses».

El uso de servicios legítimos en la nube (la botnet también united states GitHub y Pastebin) hace que el tráfico de comunicaciones sea más difícil de detectar, dice Shaty de Imperva.

«La botnet puede camuflarse fácilmente en el tráfico legítimo», dice. «Los servicios no pueden detectarlo porque el bot simplemente almacena archivos. No hay ninguna funcionalidad maliciosa».

Entre las vulnerabilidades explotadas por la botnet se encuentran las debilidades comunes, como los sistemas que permiten la carga de archivos sin restricciones, la ejecución remota de comandos, la capacidad de atravesar el sistema de directorio y la falta de limitaciones en los intentos de credenciales que permiten adivinar contraseñas por fuerza bruta. Muchos de los exploits apuntan a complementos para WordPress y otros CMS populares.

La mayoría de los servidores tienen la tarea de realizar criptominería o spam, pero en algunos casos la red de bots parece ser utilizada en algunas alteraciones. A partir de una firma de desfiguración, los investigadores encontraron una pista sobre la identidad del operador de la botnet: un pirata informático conocido como «Exect1337», que es miembro del equipo de piratas informáticos indonesio «PhantomGhost».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Engineering Overview, Well-liked Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary