Todos os posts tagados webacoo

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Muitos responsáveis por sites portugueses e brasileiros ignoram alertas que o site está desfigurado (defaced) ou a propagar malware. Isto é uma situação que tenho reparado nestes últimos anos.
Por vezes simplesmente repõem ou colocam novamente a página original e esquecem-se de analisar e corrigir a vulnerabilidade que originou o deface. Alguns por pouco conhecimento técnico, outros por puro comodismo.
De fato, maioria dos defacers apenas querem aumentar o seu rank em tabelas ou propagar mensagens políticas.
Mas esta situação está a mudar… para pior.

Alguns defacers de topo (presentes no TOP 20 do ranking do Zone-H.org), estão a começar a colocar backdoors no site. Adicionam exploit kits para infetar utilizadores e roubar informação confidencial.
Após monitorizar algumas contas Twitter e canais de conversação no IRC destes defacers foi possível concluir que, estes grupos trocam acessos de servidores e, dependendo da vítima, vendem informação.

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Entre os alvos favoritos, encontram-se diversos sites governamentais e outros de grande tráfego.

Outros grupos de utilizadores maliciosos preferem seguir listas de mirroring de defaces, não para re-deface mas sim para colocar malware. Escolhem principalmente sites Joomla 1.5 vulneráveis e fazem o upload de shells. Alguns ainda tentam correr exploits locais para conseguir obter o acesso root ou admin dos servidores.

Um dos utilizadores do WebSegura.net teve recentemente o seu site comprometido e requisitou a minha colaboração para averiguar qual foi a falha que permitiu a entrada dos defacers. No public_html foi possível encontrar diversos ficheiros index com defaces de grupos diferentes. Ou seja, foi alvo de deface por diversas vezes.
Numa breve análise nos logs, e após verificação de um scan automático a componentes vulneráveis do Joomla, foi possível verificar que a vulnerabilidade estava presente num componente nativo do Joomla 1.5! que permitia o upload de ficheiros remotamente. Trata-se de uma falha pública e com exploit disponível para o público em geral.
Este ataque permite aos utilizadores maliciosos fazer o upload de um PHP shell e explorar a conta local no servidor alheio.

O backdoor é colocado em diversos locais. No COPYRIGHT.PHP (porque é um ficheiro que pode passar por despercebido porque faz parte dos Joomla) e nos ficheiros index.php|html.
Alguns dos backdoors encontrados foram:

  • Web Shell By Black-ID ,based On Php,Ajax Posts,Css3 (que após descodificação fica assim)
  • WeBaCoo (um backdoor que tem uma baixa taxa de detecção por parte dos antivirus, NIDS, IDS, WAF, etc.)

Em algumas referências nas redes sociais é possível também concluir que muitos defacers apoiam causas como os Anonymous e Wikileaks, e fornecem alguma informação comprometida para essas entidades. Como referi acima, a criação de botnets também permite disponibilizar armas para lançar ataques DDoS – um dos ataques típicos dos Anonymous.

O que de fato parece ser um inofensivo deface, pode ser o inicio de um grande ataque que pode infectar milhões de utilizadores.

É uma prioridade, em caso de deface de site ou site comprometido, analisar exaustivamente a segurança do mesmo. Imaginem a informação confidencial em mãos erradas…