Relatório de Sites Hackeados 2017

As últimas tendências de malware e hacks em sites comprometidos.

Este relatório é baseado em dados coletados e analisados pelo Grupo de Remediação da Sucuri, que inclui a Equipe de Resposta a Incidentes e a Equipe de Pesquisa de Malware. O relatório tem como objetivo analisar mais de 34.000 sites infectados e compartilhar estatísticas associadas a:

  • Sistemas de gerenciamento de conteúdo (CMS) de código aberto afetados
  • Análise de listas negras
  • Famílias de malware e seus efeitos
Blacklist

Introdução

O relatório sobre sites hackeados é produzido pela Sucuri e resume as últimas tendências dos hackers. O relatório visa a identificar as mais recentes táticas, técnicas e procedimentos (TTPs) vistos pelo Grupo de Remediação da Sucuri. Este relatório terá como base os dados dos trimestres anteriores, incluindo os dados atualizados de 2017.

A única constante que você encontrará neste relatório são os problemas relacionados aos administradores de sites mal treinados (webmasters) e seus efeitos nos sites.

Este relatório fornecerá as tendências com base nos CMSs mais afetados, nos tipos de famílias de malware que estão sendo empregadas e nas atualizações sobre sites notificados em listas negras. O relatório não considera dados relacionados a configurações de plugins do WordPress.

Este relatório é baseado em uma amostra representativa do número total de sites para os quais o Grupo de Remediação da Sucuri realizou serviços de resposta a incidentes. Foram analisados 3.437 sites infectados. Essa amostra forneceu uma representação dos sites infectados com os quais o grupo de remediação trabalhou no ano de 2017.

Baixar o Relatório (PDF)

Análise dos Sistemas de Gerenciamento de Conteúdo (CMSs)

Com base em nossos dados, as três plataformas CMSs mais comumente infectadas foram WordPress, Joomla! e Magento. Esses dados não significam que essas plataformas sejam mais ou menos seguras que outras.

Na maioria dos casos, os comprometimentos analisados tinham pouco ou nada a ver com o núcleo do CMS, mas tinham relação com sua implantação, configuração e manutenção inadequada pelos webmasters.

Infection distribution WordPress, Joomla, Drupal, and Magento

A telemetria de 2017 indica uma mudança em relação às infecções nos CMSs:

  • Infecções no WordPress aumentaram de 74% no terceiro trimestre de 2016 para 83% em 2017.
  • Infecções no Joomla diminuíram de 17% no terceiro trimestre de 2016 para 13,1% em 2017.
  • Infecções no Magento aumentaram um pouco, de 6% no terceiro trimestre de 2016 para 6,5% em 2017.
  • Infecções no Drupal diminuíram um pouco, de 2% no terceiro trimestre de 2016 para 1,6% em 2017.
Hacked CMS WordPress, Joomla, Drupal, and Magento

O gráfico acima fornece uma comparação com o nosso relatório anterior (do terceiro trimestre de 2016 com o ano de 2017) da distribuição de plataformas para os quatro principais CMSs que monitoramos.

Análise dos CMSs Desatualizados

Embora a principal causa de infecções tenha derivado de vulnerabilidades encontradas nos componentes extensíveis dos aplicativos CMS (ou seja, extensões, plugins e módulos), também é importante analisar e compreender como estavam os CMSs nos quais trabalhamos.

  • CMS Atualizado
  • CMS Desatualizado

Um CMS foi considerado desatualizado se não estivesse na última versão de segurança recomendada ou se não tivesse corrigido o ambiente com atualizações de segurança disponíveis (como é o caso nas implantações do Magento) no momento em que a Sucuri executou os serviços de resposta a incidentes.

Out of date CMS statistics

Estamos vendo uma mudança interessante no número de versões desatualizadas e vulneráveis do WordPress no momento da infecção. No final do terceiro trimestre de 2016, 61% dos sites WordPress hackeados estavam com instalações desatualizadas; no entanto, esse número diminuiu. Em 2017, apenas 39,3% dos pedidos de limpeza para sites WordPress tinham uma versão desatualizada.

Joomla! (84%) e Drupal tiveram uma diminuição de 15% no número de instalações desatualizadas em relação ao ano passado, Joomla! caindo para 69,8% e Drupal para 65,3%.

Assim como nos anos anteriores, sites Magento (80,3%) estavam em sua maior parte, desatualizados e vulneráveis no ponto de infecção; embora este número tenha diminuído mais de 13% desde o terceiro trimestre de 2016.

Acreditamos que o problema da falta de atualização dos CMSs ocorre devido a três áreas principais: implementações altamente personalizadas, problemas de compatibilidade com versões anteriores e falta de pessoal disponível para ajudar na migração para versões mais recentes do CMS dentro de cada organização. Esses são empecilhos para a atualização e a correção de sites que usam CMSs populares, resultando também em possíveis problemas de incompatibilidade e impactos na disponibilidade do site.

Uma das tendências mais preocupantes que identificamos é relativa aos sites Magento, plataforma líder em sites de comércio on-line de grandes organizações. Devido ao seu ambiente rico em dados, hackers têm um grande interesse em roubar os dados do portador do cartão (informações de cartão de crédito e informações do PAN).

Análise das Listas Negras

Em 2017, continuamos nossa análise de listas negras. As listas negras de sites têm a capacidade de afetar negativamente os proprietários de sites, por isso é importante entender como remover uma notificação de lista negra.

Quando um site é sinalizado por uma autoridade de lista negra (como o Google), os resultados são devastadores. A lista negra pode afetar o modo como os visitantes acessam um site, como ele se classifica nas páginas de resultado do mecanismo de pesquisa (Search Engine Result Pages, SERP) e como isso pode afetar negativamente os meios de comunicação, como o e-mail.

De acordo com nossa análise, aproximadamente 17% dos sites infectados foram colocados na lista negra (um aumento de 2% em relação ao terceiro trimestre de 2016 que mostrava um número de 15%).

Website blacklist warning distribution Google, McAfee, Norton

Em nossos escâneres, usamos as indicações de diversas listas negras. Durante 2017, as duas listas negras mais proeminentes foram Norton Safe Web e McAfee SiteAdvisor; ambos representaram 45% dos sites na lista negra.

Website blacklist warning distribution Google, McAfee, Norton

Google Safe Browsing foi responsável por somente 12% das notificações de listas negras, um declínio em relação aos anos anteriores.

Várias outras autoridades de lista negra notificaram 19,8% dos sites. Seus nomes não aparecem no gráfico acima, mas são elas: PhishTank, Spamhaus e outras autoridades menores.

Observação: Uma sobreposição nos percentuais informados é geralmente devida a mais de uma autoridade de lista negra notificar um único site. Ao analisar esses conjuntos de dados, nosso tamanho de amostra foi menor devido a atualizações em nossos relatórios de lista negra, o que pode ter impactado nossos resultados.

Famílias de Malware

Parte da nossa pesquisa de 2017 incluiu a análise das várias tendências de infecção, especificamente como elas se correlacionam às famílias de malware. As famílias de malware permitem que nossa equipe avalie e entenda melhor táticas, técnicas e procedimentos (TTP) do invasor, o que inevitavelmente nos leva a suas intenções.

Um site invadido pode ter vários arquivos modificados com diferentes famílias de malware neles (um relacionamento de muitos-para-muitos). Depende da intenção do invasor (da ação sobre o objetivo) em como eles planejam alavancar seu novo ativo (o site que agora faz parte de sua rede).

Infections trends

Glossário Prático

Família de Malware

Descrição

BackDoor

Arquivos usados para reinfectar e reter o acesso.

Malware

Termo genérico usado para código do lado do navegador usado para criar drive by downloads.

SPAM-SEO

Compromisso que tem como alvo o SEO do site.

HackTool

Exploit ou ferramenta DDOS usada para atacar outros sites.

Mailer

Spam gerador de ferramentas, desenvolvido para abusar de recursos do servidor.

Defaced (Desfigurado)

Hacks que inutilizam a página inicial do site e promovem temas não-relacionados (Hacktivismo).

Phishing

Usado para phishing lures nos quais a tentativa de ataque engana usuários para que compartilhem informações confidenciais (informação do log in, cartão de crédito entre outras).

Ao longo do ano anterior, 71% de todos os compromissos tiveram um backdoor baseado em PHP escondido no site. Esses backdoors permitem que um invasor retenha o acesso ao ambiente muito tempo após infectar o site com sucesso e executar seus atos nefastos. Isso dá aos invasores a oportunidade de ignorar quaisquer controles de acesso existentes no ambiente do servidor web. A eficácia desses backdoors vem de sua indefinição para a maioria das tecnologias de varredura de sites.

Os backdoors geralmente funcionam como o ponto de entrada no ambiente, comprometimento pós-sucesso (ou seja, a capacidade de continuar comprometendo sites). Os backdoors em si não costumam ser a intenção do invasor, mas sim o ataque, encontrado na forma de spam de SEO condicional, redirecionamentos mal-intencionados ou infecções drive-by-download.

Também vimos uma queda marginal na distribuição de malware – de 50% no terceiro trimestre de 2016 para 47% em 2017. Infecções de mailer script permaneceram estáveis em 19% em relação ao relatório anterior.

Aproximadamente 44% de todos os casos de infecção em 2017 foram utilizados indevidamente para campanhas de spam de SEO; até 7% do nosso último relatório. Essas campanhas geralmente ocorrem por meio de PHP, injeções de banco de dados ou redirecionamentos de .htaccess nos quais o site é infectado com conteúdo de spam ou o site redireciona os visitantes para páginas específicas de spam. O conteúdo utilizado é, muitas vezes, anúncios farmacêuticos (por exemplo, disfunção erétil, Viagra, Cialis, etc.) e inclui outras injeções para setores como moda e entretenimento (por exemplo, Ray-Bans baratos, jogos de azar, pornografia).

Infection trends comparison

De acordo com as tendências anuais mostradas acima para as três principais ameaças, podemos ver um aumento gradual no número de Spam de SEO em contraste com um ligeiro declínio no número de Malware. Em geral, a família Malware representa uma família mais genérica de ataques, enquanto o Spam de SEO trata-se de ataques mais específicos que visam à manipulação da otimização de mecanismos de busca. O aspecto mais interessante desse aumento de tendência é que ele sugere que os hackers agora estão descobrindo que o spam de SEO é um vetor de ataque mais lucrativo em comparação com o malware.

Nosso serviço de resposta a incidentes limpou aproximadamente 168 arquivos durante cada solicitação de remoção de malware, o que representa um aumento de 82% no número total de arquivos do nosso último relatório no terceiro trimestre de 2016.

Files Cleaned per Compromised Site

Isso não necessariamente tem alguma relação com hacks mais complexos, mas trata-se do aumento da profundidade da invasão dos arquivos. Também indica que a limpeza do sintoma de um arquivo geralmente não é suficiente para remover completamente uma infecção.

Além disso, analisamos os arquivos que os invasores modificaram depois que um compromisso foi bem-sucedido:

Top 3 modified files

Nossos analistas de dados e pesquisadores identificaram quais assinaturas de malware eram mais comumente associadas a esses arquivos modificados.

19% dos arquivos .htaccess estavam associados à assinatura de malware htaccess.spam-seo.redirect.010, também relacionada à assinatura de malware htaccess.spam-seo.redirect.006 (15%). Usada em campanhas Blackhat SEO/spam, a carga útil dessas assinaturas de malware é baseada nas regras do .htaccess e executada diretamente no servidor antes de o site ser renderizado. Apenas o resultado do payload, que pode incluir conteúdo de spam ou redirecionamentos, é visível no navegador, não no próprio código malicioso.

Signatures associated with .htaccess files

Também notamos duas doorways que eram comumente associadas com arquivos .htaccess modificados: htaccess.spam-seo.doorway.003.08 (12%) e htaccess.spam-seo.doorway.003.06 (4%). Essas assinaturas acionam códigos maliciosos responsáveis por veicular páginas criadas para ter uma boa classificação para consultas de pesquisas específicas, que redirecionam o tráfego para uma página diferente. Os redirecionamentos geralmente são condicionais e acionados com base em user agent, referrers ou endereços IP.

Dez por cento dos arquivos .htaccess que analisamos também foram vinculados à assinatura htaccess.phishing.block_bots.001.02. Os autores de malware usaram-nos para bloquear bots e impedir a indexação e a detecção automatizada de seus arquivos de phishing.

Dezoito por cento dos arquivos functions.php foram associados à assinatura de malware php.malware.anuna.001.02. Esse malware tem o nome da condição normalmente exigida para executar o conteúdo mal-intencionado, os payloads maliciosos variam de injeção de spam, backdoors, criação de usuários de administradores desonestos além de outras atividades censuráveis.

Signatures associated with functions.php files

Também vimos a assinatura de malware php.backdoor.sv1_0_1.001 associada a 8% dos arquivos .htaccess modificados, que perpetram acesso malicioso a ambientes de servidor. Com essa assinatura específica, o payload é baseado em PHP e executado diretamente no servidor enquanto o site é carregado. A análise em nível de servidor é necessária para esses tipos de infecções - apenas o resultado do payload é visível no navegador, o que é muito comum para backdoors e torna impossível detectá-los no nível do site.

Outras assinaturas de malware comuns associadas a arquivos functions.php são: php.spam-seo.injector.221 (6.8%), php.spam-seo.wp_cd.001 (6.5%) e php.mailer.encrypted.001 (6.0%).

Vinte e três por cento dos arquivos index.php foram associados à assinatura de malware rex.include_abs_path.004. Essa assinatura procura por arquivos chamados por scripts PHP usando caminhos absolutos e caracteres ofuscados dentro de arquivos aparentemente inocentes.

Signatures associated with index.php files

As assinaturas de malware restantes associadas ao index.php em nosso gráfico são assinaturas genéricas de malware e malware PHP.

Signatures associated with functions.php files

Você pode encontrar mais informações sobre assinaturas de malware específicas na nossa Base de Conhecimentos.

Conclusão

Este relatório confirma o que já era conhecido. Software vulnerável continua sendo um problema e é uma das principais causas dos hacks de sites.

Alguns dos tópicos principais deste relatório:

  • WordPress continua a ser o principal CMS de site infectado (83% de todos os sites limpos em 2017).
  • Houve uma redução notável no número de instalações desatualizadas em WordPress, Joomla e Drupal no momento da infecção. Magento continua liderando em número de instalações vulneráveis e desatualizadas no momento da infecção.
  • A telemetria da lista negra mostrou uma redução de 1% nos sites que estão na lista negra (apenas 14%), aumentando o número de sites infectados que não são detectados pelos motores da lista negra para 86%.
  • A análise das famílias de malware mostrou que a porcentagem de spam de SEO subiu para 62,8% (25,8% a mais do que no terceiro trimestre de 2016). Também houve uma diminuição nos mailer scripts, de 19% para 15,1%, e um declínio marginal na distribuição de malware - de 50% no terceiro trimestre de 2016 para 47% em 2017.

Os dados não indicam qualquer diferença significativa entre o que é disseminado pelos profissionais de segurança da informação (InfoSec) e as ações tomadas pelos administradores dos sites.

Semelhantemente a relatórios anteriores, podemos esperar que, à medida que as tecnologias de código aberto continuem a se desenvolver, as infecções de sites continuarão a evoluir. Há uma redução no conhecimento necessário para criar e possuir um site, o que causa uma mentalidade errada em relação à segurança dos sites para os proprietários de sites e provedores de serviços.

Agradecemos por ler nosso relatório. Esperamos que você tenha achado-o interessante. Se houver alguma informação adicional que você gostaria de ver nos nossos próximos relatórios, entre em contato.