Tämä haittaohjelma havaittiin ensimmäisen kerran vuonna 2017, ja se on tartuttanut yli miljoona WordPressiä käyttävää sivustoa. Tässä on mitä sinun on tiedettävä.

WordPress ei ole vieras kyberhyökkäykselle, ja se on nyt kärsinyt uudesta hyväksikäytöstä, jonka kautta yli miljoona sivustoa on saanut tartunnan. Tämä haitallinen kampanja on toteutettu käyttämällä eräänlaista Balada Injector -nimistä haittaohjelmaa. Mutta miten tämä haittaohjelma toimii ja kuinka se onnistui saastuttamaan yli miljoona WordPress-sivustoa?

Balada Injector -haittaohjelmien perusteet

Balada Injector (sellainen keksittiin ensimmäisen kerran vuonna Dr. Web -raportti) on haittaohjelma, joka on ollut käytössä vuodesta 2017, jolloin tämä valtava WordPress-tartuntakampanja alkoi. Balada Injector on Linux-pohjainen takaoven haittaohjelma, jota käytetään tunkeutumaan verkkosivustoille.

Takaoven haittaohjelmat ja virukset voi ohittaa tyypilliset kirjautumis- tai todennustavat, jolloin hyökkääjä pääsee verkkosivuston kehittäjäpäähän. Sieltä hyökkääjä voi tehdä luvattomia muutoksia, varastaa arvokkaita tietoja ja jopa sulkea sivuston kokonaan.

instagram viewer

Takaovet hyödyntävät verkkosivustojen heikkouksia päästäkseen luvatta. Monilla verkkosivustoilla on yksi tai useampi heikkous (tunnetaan myös tietoturvahaavoittuvuuksina), joten monien hakkereiden ei ole vaikea löytää tietä.

Joten kuinka kyberrikolliset onnistuivat vaarantamaan yli miljoona WordPress-sivustoa Balada Injectorin avulla?

Kuinka Balada tartutti yli miljoonan WordPress-sivuston?

Huhtikuussa 2023 kyberturvallisuusyritys Sucuri raportoi haitallisesta kampanjasta, jota se oli seurannut vuodesta 2017 lähtien. Vuonna Sucuri-blogipostaus, todettiin, että vuonna 2023 yrityksen SiteCheck-skanneri havaitsi Balada Injectorin läsnäolon yli 140 000 kertaa. Yhtä verkkosivustoa on hyökätty järkyttävästi 311 kertaa käyttämällä Balada Injectorin 11 eri muunnelmaa.

Sucuri totesi myös, että sillä on "yli 100 allekirjoitusta, jotka kattavat sekä palvelintiedostoihin ruiskutetun haittaohjelman etu- että taustamuunnelmat. ja WordPress-tietokannat." Yritys huomasi, että Balada Injector -tartunnat tapahtuvat tyypillisesti aaltoina, ja niiden esiintymistiheys kasvaa muutaman viikon välein.

Saauttaakseen niin monia WordPress-sivustoja Balada Injector kohdisti erityisesti alustan teemojen ja lisäosien haavoittuvuuksiin. WordPress tarjoaa käyttäjilleen tuhansia laajennuksia ja laajan valikoiman käyttöliittymäteemoja, joista osa on ollut muiden hakkereiden kohteena aiemmin.

Erityisen mielenkiintoista tässä on se, että Balada-kampanjan kohteena olevat haavoittuvuudet ovat jo tiedossa. Jotkut näistä haavoittuvuuksista tunnustettiin vuosia sitten, kun taas toiset löydettiin vasta äskettäin. Balada Injectorin tavoitteena on pysyä tartunnan saaneella sivustolla pitkään sen käyttöönoton jälkeen, vaikka sen hyödyntämä laajennus saisi päivityksen.

Edellä mainitussa blogiviestissä Sucuri listasi useita infektiomenetelmiä, joita käytetään Baladan käyttöönotossa, mukaan lukien:

  • HTML-injektiot.
  • Tietokanta-injektiot.
  • SiteURL-merkinnät.
  • Mielivaltaiset tiedostojen lisäykset.

Tämän lisäksi Balada Injector käyttää String.fromCharCodea hämäränä, joten kyberturvallisuuden tutkijoiden on vaikeampi havaita se ja havaita hyökkäystekniikan kaavoja.

Hakkerit tartuttavat WordPress-sivustoja Baladalla ohjatakseen käyttäjiä huijaussivuille, kuten väärennetyille arpajaisille, ilmoitushuijauksille ja väärille teknisille raporttialustoille. Balada voi myös suodattaa arvokasta tietoa tartunnan saaneiden sivustojen tietokannoista.

Kuinka välttää Balada-injektorihyökkäykset

On joitain käytäntöjä, joita voidaan käyttää välttääksesi Balada Injectorin, kuten:

  • Päivitä säännöllisesti verkkosivuston ohjelmistoja (mukaan lukien teemat ja laajennukset).
  • Ohjelmistojen säännöllinen puhdistus.
  • Aktivoidaan kaksivaiheinen todennus.
  • Käyttämällä vahvoja salasanoja.
  • Sivuston järjestelmänvalvojan oikeuksien rajoittaminen.
  • Tiedostojen eheyden valvontajärjestelmien käyttöönotto.
  • Paikallisen kehitysympäristön tiedostojen pitäminen erillään palvelintiedostoista.
  • Tietokannan salasanojen vaihtaminen mahdollisen kompromissin jälkeen.

Tällaisten vaiheiden suorittaminen voi auttaa sinua pitämään WordPress-verkkosivustosi turvassa Baladalta. Sucurilla on myös a WordPress-siivousopas jonka avulla voit pitää sivustosi vapaana haittaohjelmista.

Balada Injector on edelleen vapaana

Kirjoitushetkellä Balada Injector on edelleen olemassa ja tartuttaa verkkosivustoja. Kunnes tämä haittaohjelma on täysin pysähtynyt, se aiheuttaa edelleen riskin WordPressin käyttäjille. Vaikka on järkyttävää kuulla, kuinka monta sivustoa se on jo saanut tartunnan, et onneksi ole täysin avuton takaoven haavoittuvuuksia ja Baladan kaltaisia ​​haittaohjelmia vastaan, jotka hyödyntävät näitä puutteita.