logo cvs

Inhoud

hacker motief

Hacker motief: Wat doen aanvallers met uw gehackte site?

BLOG
hacker motief

Inleiding hacker motief

WordPress heeft meer dan 35% van het internet in handen en is daarmee een van de meest populaire contentmanagementsystemen. Dit betekent dat WordPress ook een van de meest doelgerichte systemen is. Hackers begrijpen dat als ze experts kunnen worden in het compromitteren van WordPress-kwetsbaarheden, ze meer sites als doelwit kunnen gebruiken en misbruiken. Met tienduizenden plugins en thema’s die beschikbaar zijn, draagt de kans op het ontdekken van een gemakkelijk te misbruiken indringingsvector die op tal van sites is geïnstalleerd bij aan de aantrekkelijkheid van WordPress als doelwit voor kwaadaardige aanvallen.

WordPress hackers variëren van onervaren scriptkiddies die nog in de beginfase zitten tot gesofisticeerde misdaadsyndicaten. Een scriptkiddie die zeer weinig technische ervaring heeft, kan gewoon rondgaan met het defacen van websites voor de lol en het opscheppen van rechten, terwijl een black hat hacking syndicaat meer tijd kan besteden aan het ontwijken van malware scanners, het ontwikkelen van complexe commando- en controlenetwerken om hun impact te maximaliseren, en het te gelde maken van gecompromitteerde sites met behulp van SEO spamlinks en andere methoden. We zullen deze motieven nog wat verder onderzoeken en je wat meer inzicht geven in waarom aanvallers zich richten op WordPress-websites en deze compromitteren.

Wij hopen dat deze informatie je in staat stelt om je site te beschermen, hoe klein of onbeduidend je jouw site ook vindt. Elke WordPress-site is van onschatbare waarde en we hopen je in staat te stellen stappen te ondernemen om jouw site te beschermen tegen dit soort aanvallen.

Hacker Motief #1: Backdoors installeren

Een achterdeur is een stukje code dat ergens op een site is ingevoegd. Hetzij in een al bestaand geldig bestand zoals een 404-bestand van een thema, hetzij in een nieuw gegenereerd bestand dat een aanvaller de mogelijkheid biedt om opdrachten uit te voeren op de server van de gecompromitteerde site. Een achterdeur kan ook een reverse shell naar de server maken om commando’s uit te voeren en vrij door het bestandssysteem te navigeren.
Aanvallers installeren vaak meerdere backdoors om persistentie op een gecompromitteerde site te behouden. Dit betekent dat ze een gemakkelijke manier hebben om terug te keren naar gecompromitteerde sites. Aanvallers gebruiken deze toegang om wijzigingen aan te brengen in een gecompromitteerde site die een monetisatiecampagne ten goede komt, of om sites te herinfecteren in het geval dat de geïnfecteerde inhoud onvolledig werd opgeschoond of dat kwetsbaarheden werden gepatcht terwijl de achterdeur onopgemerkt bleef.
Backdoors kunnen ook worden geïnstalleerd door een aanvaller in de hoop shelltoegang te krijgen tot een server. Als een aanvaller eenmaal shelltoegang krijgt, kunnen ze hun privileges mogelijk laten escaleren door kwetsbaarheden op kernelniveau uit te buiten om roottoegang tot de server te krijgen, waardoor ze andere sites die op dezelfde server worden gehost, kunnen overnemen.

In zeldzamere gevallen kunnen backdoors worden toegevoegd door ontwikkelaars tijdens het ontwikkelingsproces van een WordPress-site om te fungeren als een onderhoudshaak of killswitch in het geval dat een site-eigenaar stopt met het betalen voor onderhoud. Als een ontwikkelaar waarvan je niet goed weet dat hij iets voor je site heeft gemaakt, is het belangrijk om te controleren of hij geen backdoors heeft toegevoegd door een malware- en kwetsbaarheidsscan uit te voeren met een product als Wordfence zodra het ontwikkelingsproces is afgerond.
Een eenvoudige PHP webshell die een aanvaller zou kunnen gebruiken om opdrachten uit te voeren op een gecompromitteerde WordPress-website zou eruit kunnen zien:

 

Hacker Motief #2: Defacement

Defacement treedt op wanneer een aanvaller de inhoud of het gezicht van een site verandert in iets anders, meestal zonder echt direct voordeel voor zichzelf. Dit kan iets eenvoudigs zijn als een tagline zoals “Deze site werd gehackt door r0gu3 1: L33t Hax0rs” met een groene cybertekst achtergrond. Meestal zullen aanvallers sites defaseren om een politieke boodschap te sturen of gewoon om te pronken. Er is meestal geen geldelijk gewin uit het defacen van een site, hoewel het de bedoeling kan zijn om de eigenaar van de site in verlegenheid te brengen.

Er was een massale defacement campagne in februari 2017 toen een REST API kwetsbaarheid werd ontdekt in versies 4.7 – 4.7.1 van WordPress, waardoor niet-geauthenticeerde aanvallers willekeurige berichten konden updaten. Honderdduizenden sites werden getroffen door deze kwetsbaarheid terwijl aanvallers deelnamen aan wat een “Defacement Contest” leek te zijn.

Een “Defacement Contest” is wanneer aanvallers proberen zoveel mogelijk sites te defaceren om de overwinning op andere aanvallers te claimen, puur voor het opscheppen van rechten.

Het volgende is een voorbeeld van een defacement dat we in 2017 zagen tijdens de defacement contest waarbij gebruik werd gemaakt van de REST API kwetsbaarheid.

Hacker motief

Er zijn enkele gevallen geweest waarin “grey hat” hackers, die niet volledig kwaadwillig zijn, maar toch illegale acties uitvoeren, sites zouden hebben ontmaskerd om het bewustzijn van de site-eigenaren te verhogen en hen te wijzen op het feit dat ze kwetsbare sites hebben. Hoewel dit minder vaak voorkomt, doen sommige aanvallers een poging om minimale schade te veroorzaken buiten het bewust maken van de eigenaar van de site dat hun site kwetsbaar is.

Hacker Motief #3: Spam/SEO-injectie van inhoud

Spam/SEO-contentinjectie vindt plaats wanneer een aanvaller HTML met zichtbare of verborgen links naar externe websites injecteert in de hoop de positie van deze sites in de zoekmachine te verbeteren. Dit wordt meestal gedaan voor geldelijk gewin. Aanvallers kunnen worden betaald op de zwarte markt of op het donkere web om de SEO-ranking van de site te verbeteren of ze kunnen ernaar streven de SEO van hun eigen sites te verbeteren door deze spamlinks in de sites van het slachtoffer te injecteren.

Zoekmachines zullen de populariteit van een site scoren op basis van een aantal rangschikkingsfactoren, waaronder het aantal inkomende links dat de site heeft op het web als geheel. Inkomende links vertellen de zoekmachines dat andere site-eigenaren de site als gezaghebbend beschouwen, en tal van backlinks van sites met een hoge autoriteit kunnen de prestaties van een site in de resultatenpagina’s van de zoekmachines (SERP’s) een boost geven. Aanvallers die goed willen presteren in de SERP’s zullen proberen zoveel mogelijk links te plaatsen op schone, high authority sites in zeer competitieve en winstgevende niches. SEO spam wordt vaak gebruikt om sites te promoten waar aanbieders van online advertenties niet mee willen of kunnen werken om juridische redenen, zoals farmaceutische, online gokken, namaakgoederen en illegale downloadsites.

Het Security Services Team (SST) van Wordfence vindt deze links vaak onderaan in berichten, site footers of andere locaties. Soms kunnen deze aan het zicht worden onttrokken. Hoe dan ook, SEO spam koppelingen kunnen geruime tijd onopgemerkt blijven als je de pagina’s van je site niet actief onderzoekt of malware scant op je WordPress site.

Voorbeeld van een WordPress-post die een spamlink bevat.

hacker motief

Hacker motief #4: Spam pagina creatie

Net als bij spamlinks proberen spampagina’s een site in een zeer concurrerende en winstgevende niche hoger in de zoekmachineresultaatpagina’s te stimuleren. In tegenstelling tot spamlinks bestaan deze aanvallen echter uit meerdere HTML-pagina’s met spam-inhoud die op een gecompromitteerde site worden geïnjecteerd. Het kan ook betekenen dat er spampagina’s worden gemaakt binnen WordPress zelf.

Sites die oudere domeinnamen hebben, hebben een hogere authoriteitsfactor op zoekmachines en zijn een meer gewenst doelwit voor aanvallers, aangezien de domain authority ook wordt overgedragen naar de spam pagina’s die door de aanvaller zijn gemaakt.

Het motief voor aanvallers in dit scenario is monetarisering. De spam pagina’s die ze maken bevatten vaak affiliate links in de hoop dat de aanvaller de verkoop aan bedrijven kan stimuleren en geld kan verdienen aan de affiliate inkomsten die de spam pagina’s genereren. Deze spampagina’s kunnen ook gebruikers van de site doorverwijzen naar een alternatieve site die producten verkoopt, opnieuw als een middel om de gecompromitteerde site te gelde te maken.

Een veel voorkomende hack voor het maken van spampagina’s die we vaak zien, is de “Japanse trefwoord”-hack. Dit houdt meestal de creatie in van een map met verschillende HTML-pagina’s die Japanse spam bevatten met affiliate links om koopwaar te verkopen. Deze pagina’s worden vaak geïndexeerd door Google en het kan zo ernstig worden dat de zoekresultaten voor een geïnfecteerde site alleen Japanse trefwoordpagina’s in de zoekresultaten laten zien.

Een voorbeeld van de zoekresultaten van een site die Japanse trefwoorden toont.

hacker motief
Afbeelding Bron: https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Hacker Motief #5: PHP Mailer Creation

Een PHP mailer script stuurt e-mails op een server via PHP code. Aanvallers zullen deze scripts vaak gebruiken op een gecompromitteerde site om de mailingfuncties van de server te exploiteren en ongewenste spamberichten te versturen. Spam verwijst meestal naar ongevraagde e-mails die ontworpen zijn om je aandacht te trekken en te proberen je een product te laten kopen. Spam kan ook bestaan uit e-mails die zijn ontworpen om je te verleiden tot het uitvoeren van acties zoals het invoeren van je wachtwoord, wat zou worden beschouwd als phishing, of om andere veelvoorkomende zwendelpraktijken te initiëren.

Spam is zo oud als e-mail zelf, en het is nog steeds ongelooflijk winstgevend, zelfs met de geavanceerde e-mailfilters van vandaag.

Waarom compromitteren aanvallers WordPress-sites om spam te versturen?
Het is eenvoudig. Je hebt een gerenommeerde en legitieme site, dus het verzenden van spammails vanaf jouw site is een aantrekkelijk doelwit omdat het langer duurt voordat een aanvaller wordt gedetecteerd en afgesloten. Door de e-mailservice van je site als e-mailbron te gebruiken, zal een aanvaller waarschijnlijk veel e-mailfilters omzeilen en zullen hun spamberichten met succes bij meer doelwitten worden afgeleverd. Jouw site biedt ook gratis mailingmiddelen voor de aanvaller om zijn spamberichten te exploiteren en te versturen om geld te verdienen, en ongeacht het verkeer dat je site ontvangt, kan een aanvaller je hosting- en mailingmiddelen gebruiken in hun voordeel. Ook hier is het motief om geld te verdienen en zo lang mogelijk onopgemerkt te blijven.

Hosting-aanbieders hebben een sterke stimulans om kwaadwillige mailers die spam versturen, af te sluiten om hun IP-adressen te beschermen tegen blacklisting. Dit betekent dat de eerste indicatie van een PHP mailer infectie vaak is dat uw site wordt afgesloten. Jouw site kan ook op een blacklist terechtkomen als je jouw site niet actief controleert en scant op malware en indicatoren van compromissen.

Hacker Motief #6: Phishing Campagnes

Bij phishing wordt gebruik gemaakt van legitieme e-mails om te proberen een gebruiker te verleiden tot het uitvoeren van een soort actie, zoals het inloggen op een nepsite voor online bankieren. Gecompromitteerde WordPress-sites kunnen worden gebruikt als bron voor het versturen van phishing-e-mails en ze kunnen phishingpagina’s hosten die zich voordoen als een andere site om gevoelige informatie te verzamelen.

Het Security Services Team van Wordfence heeft veel gevallen gezien waarin WordPress-sites werden gecompromitteerd en vervolgens een phishingkit werd geïnstalleerd. Een phishingkit is in wezen een bundel bestanden die wordt gebruikt om een webpagina te maken die lijkt op een legitieme site zoals Google Drive of een site voor online bankieren. In deze gevallen zou je site fungeren als een gratis host voor kwaadwillende aanvallers die een phishingpagina hosten om gebruikersgegevens te verzamelen.

Koppelingen naar deze webpagina’s worden dan aangeboden in phishing-e-mails, dat zijn e-mails die afkomstig lijken te zijn van een legitieme bron. De aanvaller hoopt dat gebruikers op de link in de e-mail klikken en hun gegevens, of andere gevoelige informatie, op de phishingpagina opgeven.

Hier is een voorbeeld van een phishingpagina die bedoeld is om de Google-gegevens te verzamelen waarover we in 2017 rapporteerden. Ziet er erg dicht bij het normale Google-teken in het gebied dat u normaal gesproken ziet wanneer u inlogt, toch?

hacker motief
GMail gegevens URI phishing aanmeldpagina

Het overgrote deel van de tijd worden phishingcampagnes gebruikt om gebruikersreferenties voor diensten zoals banksites of bedrijfsmiddelen te targeten in de hoop gegevens van die accounts te stelen om ze te verkopen op het duistere web. Ook hier worden phishingcampagnes voornamelijk opgezet als een middel om geld te verdienen, of dat nu direct of indirect is door het oogsten en verkopen van gebruikersgegevens.

Zorg ervoor dat je nooit referenties of gevoelige informatie verstrekt nadat je op een link in een e-mail hebt geklikt. Als je bijvoorbeeld een bericht ontvangt van je provider van WordPress, zorg er dan voor dat je direct naar die site gaat om in te loggen en eventuele berichten te bekijken. Onderzoek de inhoud van elke e-mail, inclusief de links binnenin, nauwkeurig en ga ervan uit dat elke link kwaadaardig is.het 

Hacker Motief #7: Kwaadwillige omleidingen

Kwaadaardige omleidingen worden gebruikt om legitieme gebruikers van de site om te leiden naar een alternatieve site, meestal in de hoop de computer van het slachtoffer te besmetten via een kwaadaardige download. Aanvallers installeren graag kwaadaardige software op gebruikerscomputers om een groot aantal redenen, maar het komt bijna altijd voort uit één motief: monetarisatie.

Aanvallers zullen er soms ook voor kiezen om gebruikers van de site om te leiden naar een spam-site in de hoop producten te verkopen om, opnieuw proberen geld te verdienen.

Kwaadaardige redirects zijn meestal het resultaat van een cross-site scripting kwetsbaarheid of een willekeurige optie wijzigen kwetsbaarheid. De beste manier om je site te beschermen tegen misbruik van deze kwetsbaarheden is om je thema’s, plugins en core up to date te houden en een firewall voor webapplicaties te draaien om uw site te helpen beschermen tijdens tussentijdse perioden waarin een kwetsbaarheid is ontdekt maar je site nog niet is bijgewerkt om de kwetsbare code te patchen. De beste manier om jezelf als bezoeker van de site te beschermen tegen kwaadaardige omleidingen is door gebruik te maken van antivirussoftware op de apparaten die je gebruikt om websites te bezoeken.

Een voorbeeld van JavaScript dat een aanvaller via een XSS-aanval kan injecteren om uw websitebezoekers om te leiden naar een kwaadaardige site kan eruit zien:

1
<script type="text/javascript"> window.location.replace("https://wordfence.com");</script>

Hacker Motief #8: Command & Control Server met een Botnet

Een botnet is een groep van reeds gecompromitteerde hosts, “zombies” genoemd, die gewoonlijk door een aanvaller worden gebruikt om te proberen extra hosts te infecteren of een DDoS-aanval uit te voeren. De Command and Control, of C2, server, is wat aanvallers gebruiken om de gecompromitteerde hosts te controleren en hen te sturen om veel verschillende acties uit te voeren. Dit is een motief waarbij aanvallers zich niet per se bekommeren om de zichtbaarheid of het verkeer naar je site, maar eerder om het gebruik van de hostingmiddelen van jouw site.

In december 2018 volgde Wordfence een massale brute-force campagne die een door aanvallers gecreëerd botnet gebruikte om te proberen toegang te krijgen tot meer WordPress-sites. In wezen creëerde een aanvaller een commando- en controleserver die werd gebruikt om de vele geïnfecteerde “zombie” WordPress-sites te controleren en andere WordPress-sites op brute wijze te dwingen gebruik te maken van de middelen van de reeds gecompromitteerde WordPress-sites.
Hacker motiefHet motief achter commando- en controlebotnets is ook het te gelde maken door gebruik te maken van kwetsbaarheden en dit snel op schaal te doen. Deze exploitaties zijn vaak veel geavanceerder en vereisen het gebruik van backdoors op getroffen systemen om persistentie te behouden en om commando’s uit te voeren die door controleservers in gang worden gezet. Als een aanvaller eenmaal controle heeft over een botnet, kan hij een van de andere vermelde methoden voor het te gelde maken van een botnet gebruiken, of het direct leasen of verkopen.

 

Hacker Motief #9: Cryptomining

Cryptominerende infecties komen voor wanneer aanvallers sites besmetten met cryptomachines, die worden gebruikt om cryptocurrency te verdienen, wat een digitale vorm van valuta is die gebruik maakt van een blokketen. Cryptokringen maken gebruik van de blokketentechnologie om decentralisatie, transparantie en onveranderlijkheid te verkrijgen. Dit is een ander scenario waarbij het motief van de aanvaller niet vereist dat uw site zichtbaar of populair is, maar dat de hostingmiddelen (of bezoekers) van de site worden uitgebuit om de aanvaller geld te laten verdienen.

We hebben in het verleden massale campagnes gezien waarbij een aanvaller alle middelen van een server heeft gebruikt om te graven naar cryptocurrency. Dit kan een aanzienlijke impact hebben op je site, omdat het kan resulteren in het offline halen van jouw site, wat een verlies aan beschikbaarheid tot gevolg kan hebben. Daarnaast zijn er in het verleden ook JavaScript-gebaseerde cryptomachines gebruikt om cryptocurrency te genereren met behulp van browsers voor websitebezoekers, hoewel deze veel minder vaak worden gebruikt dan een paar jaar geleden.

Conclusie

Om jezelf te beschermen tegen hackers, moet je denken als een hacker. Door de motieven van hackers om kwetsbare websites te compromitteren beter te begrijpen, bent je beter in staat om zowel een diagnose te stellen van de getroffen systemen in het geval van een compromis als om je WordPress-site te beschermen tegen de pogingen van een aanvaller om kwetsbare code uit te buiten.

We hopen dat we je hebben geholpen een aantal veel voorkomende hackersmotieven beter te begrijpen en waarom ze zich misschien op jouw WordPress-site richten, zodat je de voorzorgsmaatregelen kunt nemen die je nodig hebt om veilig te blijven, inclusief het beschermen van je site met Wordfence.

Als je vrienden of collega’s hebt die WordPress gebruiken, deel dan dit bericht met hen. Hoe veiliger we de hele WordPress-gemeenschap maken door te leren over de motieven van hackers, hoe veiliger we allemaal zijn voor hackers die op zoek zijn naar het kunnen misbruiken van WordPress-sites.

Zoals eerder in dit artikel geschreven is de beste manier om je site te beschermen tegen misbruik van deze kwetsbaarheden om je thema’s, plugins en core up-to-date te houden. Vind je dat lastig of kost dat je te veel tijd dan is het wellicht verstandig om een abonnement te nemen die dit voor je verzorgd. 

Dit artikel is overgenomen van Wordfence en  bewerkt/vertaald naar het Nederlands.

Leuk of leerzaam artikel? Deel het!
Cees van Stam
Cees van Stam

Wordpress onderhoud & Design