Relatório de Sites Hackeados 2016 - T1

Como os Sites São Hackeados e Qual Malware Se Usa

Esse relatório é baseado nas informações coletadas e analizadas pela Equipe de Remediação da Sucuri, que inclui a Equipe de Resposta a Incidentes e a Equipe de Pesquisa de Malware. Analisamos mais de 11k sites infectados e compartilhamos estatísticas relativas a:

  • Aplicações CMS de código aberto afetadas
  • Detalhes sobre a plataforma WordPress
  • Famílias de Malware e seus efeitos
Blacklist

Introdução

Atualmente existem mais de 1 bilhão de sites na web. Esse número está crescendo, pois o mundo se conecta cada vez mais e a tecnologia torna mais fácil ter uma voz e presença online através de coisas como um site. Esse crescimento está sendo ativado pela explosão de tecnologias como sistemas de gerenciamento de conteúdo de código aberto (CMS).

Mais de um terço dos sites online são alimentados por quatro plataformas principais: WordPress, Joomla!, Drupal e Magento. WordPress está conduzindo o mercado de CMS com uma quota de mais de 60%. Essa explosão e dominância pelo WordPress é facilitada pela sua adoção pelo usuário global, uma plataforma altamente extensível e focada nos usuários finais. Outras tecnologias de plataforma têm experimentado um crescimento em mais mercados de nicho, como Magento no domínio do comércio online com as grandes organizações, e Drupal em grandes organizações, e em empresas públicas.

Essa adoção pelo usuário, no entanto, traz sérios desafios para a internet como um todo, uma vez que introduz um grande afluxo de webmasters não qualificados e prestadores de serviços responsáveis pela implantação e administração desses sites. Essa avaliação é ampliada em nossa análise, o que mostra que, dos 11.000 + sites infectados analisados, 75% deles estavam na plataforma WordPress e mais de 50% estavam desatualizados. Compare isso com outras plataformas semelhantes que colocaram menos ênfase na compatibilidade, como o Joomla! e Drupal, nos quais a percentagem de software desatualizado foi acima de 80%.

Em março de 2016, o Google informou que mais de 50 milhões de usuários de sites receberam alguma forma de aviso de que sites visitados estavam tentando roubar informações ou instalar software malicioso. Em março de 2015, esse número era de 17 milhões. Atualmente, o Google coloca em suas listas negras perto de 20.000 sites por semana por malware e outros 50.000 por semana por phishing. PhishTank sozinho notifica mais de 2.000 sites por semana por phishing. Esses números refletem apenas as infecções que têm um efeito adverso imediato sobre o visitante (como, Drive by download, Phishing) e não incluem sites infectados com o Spam de SEO e outras táticas não detectadas por essas empresas.

Na Sucuri, estamos bem situados e podemos fornecer uma perspectiva única sobre o que está acontecendo quando um site é hackeado, por isso estamos compartilhando as conclusões deste relatório. Começamos por compreender como os sites estão sendo hackeados, em seguida, teorizamos e resumimos essas descobertas com dados quantificáveis e mensuráveis, coletados de nossos clientes.

Este relatório demonstrará as tendências com base nas aplicações CMS mais afetadas pelas infecções de sites, além de demonstrar os tipos de famílias de malware que estão sendo empregados pelos atacantes. Este relatório é baseado em uma amostra representativa dos sites totais nos quais trabalhamos no Primeiro Trimestre, Ano Civil (CY) 2016 (CY16 -T1). Utilizou-se um total de 11.485 sites infectados. Essa é a amostragem que nos forneceu os dados mais consistentes com os quais preparamos este relatório.

Baixe o Relatório

ANÁLISE DE CMS

Com base em nossos dados, as três plataformas CMS mais afetadas foram WordPress, Joomla! e Magento. Isso não significa que essas plataformas são mais ou menos seguras do que outras.

Na maioria dos casos, as infecções analisadas tinha pouca ou nenhuma relação com o núcleo da aplicação CMS em si, mas com a implantação, configuração e manutenção indevida pelos webmasters e seus hosts.

Distribuição de Infecção

Mais de 78% de todos os sites com os quais trabalhamos no primeiro trimestre de 2016 foram construídos sobre a plataforma WordPress, seguido por Joomla!, 14%. WordPress é uma das principais plataformas CMS de código aberto no mercado, liderando a adoção por empresas de todos os tamanhos e proprietários de sites todos os dias. Em todos os casos, independentemente da plataforma, a principal causa de infecção pode ser atribuída à exploração de vulnerabilidades de software em componentes extensíveis da plataforma e não sua essência. Componentes extensíveis estão diretamente relacionados com a integração de plugins, extensões, componentes, módulos, modelos, temas e outras integrações semelhantes.

As percentagens do vBulletin e Modx são pequenas, relativamente falando, e foram removidas do resto do relatório.

A distribuição das plataformas no ambiente Sucuri foi consistente ao longo do trimestre:

CMS afetados por mês

Se tivesse havido um grande surto, o gráfico teria claramente representado a anomalia com o crescimento da plataforma no mês afetado. Com essa informação, podemos assumir que nada significativo ou fora do comum ocorreu durante o primeiro trimestre de 2016. Na comparação com o trimestre 4 de Ano Civil (CY) 2015, vemos que houve uma queda modesta na infecção na plataforma WordPress e um aumento nas infecções de sites baseados em Joomla!.

Ano após ano, as coisas parecem ser bastante consistentes, com WordPress liderando e Joomla! logo em seguida, em um distante segundo lugar. Houve um diminuição modesta do Joomla! em 2015, mas seu número de instalações aumentou um pouco no Primeiro Trimestre de 2016.

Infecções de CMS Ano Após Ano

Os impactos para o WordPress decorrem de tentativas de exploração de vulnerabilidades de software, especificamente nos plugins. As três vulnerabilidades de software líder que afetaram a maioria dos sites no primeiro trimestre foram os plugins RevSlider e GravityForms, seguido pelo script TimThumb.

Outra alteração interessante pode ser vista na plataforma Magento, que se tornou um alvo maior de comércio online (ou seja, e- commerce) e continua a crescer. Isso pode ser visto no crescimento de 200% em números de infecção entre 2015 e T1 2016.

Infecções de CMS Ano Após Ano

O aumento das concessões de Magento parece estar relacionado com a vulnerabilidade ShopLift Supee 5344, que já recebeu um patch do Magento em fevereiro de 2015, divulgada pela CheckPoint que descobriram uma execução remota de código (RCE) que poderia ser facilmente explorável. A vulnerabilidade de execução remota de código (RCE) foi descoberta por CheckPoint em abril de 2015 e os ataques que se focavam especificamente na vulnerabilidade de injeção de SQL (SQLi) começaram 24 horas após o lançamento. Além disso, os compromissos foram correlacionados com um Cross-site Scripting armazenado (XSS), identificado e divulgado pela equipe de pesquisa da Sucuri, em que os atacantes poderiam assumir contas de administrador e inserir novas contas. A vulnerabilidade ShopLift foi a mais grave das vulnerabilidades divulgadas.

Além disso, ao contrário de outras plataformas em que os invasores estão usando sites para distribuir malware, como phishing ou spam de SEO, os atacantes estão direcionando os dados do cartão de crédito via scrapers de cartão. Roubar os dados em si não é uma surpresa, é o alvo óbvio de um site de comércio online, mas o fato de que nós estamos vendo mais scrapers de cartão específicos para Magento nos leva a crer que os usuários Magento estão processando os dados do cartão localmente no servidor web no lugar de usar integradores de terceiros para lidar com o processamento das informações do cartão e os atacantes sabem disso. Isso também demonstra uma falta de compromisso com o Payment Card Industry Data Security Standards (PCI DSS) que mostra como os negócios devem ser responsabilizados pela segurança da informação do portador do cartão em um ambiente de ecommerce.

Análise de CMS Desatualizados

Enquanto a principal causa de infecções resultou de vulnerabilidades encontradas nos componentes extensíveis das aplicações CMS, é importante analisar e compreender o estado do CMS nos sites em que trabalhamos. Softwares desatualizados têm sido uma questão séria desde que a primeira parte do código foi colocada no papel virtual. Com tempo, motivação e recursos suficiente, os atacantes irão identificar e potencialmente explorar vulnerabilidades de software.

Para tornar os dados administráveis, os dividimos em duas categorias distintas específicas para o núcleo da aplicação, não para seus componentes extensíveis:

  • CMS Atualizado
  • CMS Desatualizado

Um CMS foi considerado desatualizado se não estava na versão mais recente de segurança recomendada ou não tinha corrigido o ambiente com atualizações de segurança disponíveis (como é o caso em implantações Magento) no momento em que a Sucuri foi contratada para executar serviços de resposta a incidentes.

CMS Desatualizados

WordPress liderou em compatibilidade com versões anteriores e facilidade de atualizações para proprietários de sites, mas o mesmo não pode ser dito para outras plataformas de CMS, como Joomla!, Magento e Drupal. Mesmo com os esforços que a plataforma WordPress tem colocado sobre a importância das alterações, dos mais de 11k sites infectados, 56% do total de sites WP infectados, ainda estavam desatualizados. Isso é bom, quando comparado com o Joomla! (84%), Magento (96%) e Drupal (81%).

O desafio de estar atualizado decorre principalmente de três causas: implantações altamente personalizadas, problemas com compatibilidade com versões anteriores e a falta de pessoal disponível para ajudar na migração. Isso tende a criar problemas de atualização e aplicação de patches para as organizações que os instalam nos seus sites, por meio de problemas de incompatibilidade e impactos potenciais para a disponibilidade do site.

Essas estatísticas coadunam-se aos desafios que os proprietários de site enfrentam, independentemente do tamanho do seu negócio, ou da sua indústria. Proprietários de sites são incapazes de acompanhar as ameaças emergentes. Do mesmo modo, a orientação que recebem para "ficar atualizado" ou "apenas atualizar" não é suficiente. Proprietários de sites estão se voltando para outras tecnologias, como Website Application Firewall (WAF), para dar a si mesmos e suas organizações o tempo de que necessitam para responder de maneira mais eficaz às ameaças por meio de patching virtual e técnicas de hardening.

Análise do WordPress

Com o WordPress dominando uma grande porcentagem do total dos sites infectados, analisamos (77%) desse total, decidimos mergulhar mais fundo para entender as principais causas de infecções. Com o número de plugins no repo sozinho (mais de 40k) e a quantidade de vulnerabilidades divulgadas diariamente, às vezes, é difícil compreender o que está acontecendo no meio de tanto ruído.

Este foi o top três dos plugins que estavam desatualizados e vulneráveis quando um site contratou a Sucuri para seus serviços de limpeza:

Plugins Desatualizados

Quase 10% dos sites WordPress comprometidos que analisamos tinham uma versão vulnerável do RevSlider. RevSlider, Gravity Forms e TimThumb combinados respondem por 25% do total de sites WordPress comprometidos.

Todos os três plugins tiveram uma correção disponível por mais de um ano, com TimThumb há vários anos (quatro anos para ser exato, por volta de 2011). Gravity Forms recebeu um patch na versão 1.8.20, dezembro de 2014 para responder a vulnerabilidade Arbitrary File Upload (AFU) que está causando os problemas identificados neste relatório. RevSlider recebeu um patch sem grandes anúncios em fevereiro de 2014, divulgado publicamente pela Sucuri em setembro de 2014. Compromissos em massa começaram desde dezembro de 2014 e continuaram. Isso mostra e reitera os desafios que a comunidade enfrenta em conscientizar os proprietários de sites dos problemas, permitindo que eles corrijam os problemas e facilitem a manutenção diária e administração de sites por seus webmasters. Timthumb foi de longe a revelação mais interessante desta análise.

Os gráficos mostram o percentual de casos vulneráveis do TimThumb encontrados em sites WordPress comprometidos ao longo dos anos.

Timthumb

RevSlider nunca chegou a escala do TimThumb, mas ainda afeta sites meses depois de ter sido divulgado pela primeira vez. O maior desafio com o RevSlider, no entanto, é que ele é incorporado dentro dos Temas e Frameworks e alguns proprietários de sites não sabem que eles estão instalados em seus sites até que tenham sido utilizados para afetá-los negativamente através de um compromisso.

Revslider

A principal causa de compromissos em sites de hoje vem da exploração de vulnerabilidades de software encontradas em software desatualizados, especificamente em seus componentes extensíveis, conforme descrito acima para a plataforma WordPress.

A ideia de patch e gerenciamento de vulnerabilidades não é um novo conceito no mundo da segurança ou da tecnologia. Mas no mundo das operações diárias, o pessoal não é técnico. Talvez o aspecto mais desafiador é que isso se aplica a todas as equipes, mesmo àquelas com mais controles e processos de segurança formais. O fato é que mesmo as grandes organizações são confrontadas com os mesmos desafios que os proprietários de sites comuns (ou seja, blogueiros e pequenas empresas) para manter seus sites atualizados à medida que novas atualizações são lançadas para resolver todos os problemas, incluindo os patches de segurança.

FAMÍLIAS DE MALWARE

Parte de nossa pesquisa em relação ao trimestre passado inclui analisar as várias tendências da infecção, especificamente como elas se relacionam às famílias de malware. Famílias de malware permitem que a nossa equipe avalie melhor e compreenda as ações dos atacantes, o que inevitavelmente nos leva a suas intenções.

Um site hackeado pode ter vários arquivos modificados com diferentes famílias de malware (um relacionamento de muitos-para-muitos). Depende da intenção ou do objetivo do atacante na forma como eles planejam alavancar seu novo asset (asset é o termo usado para descrever o site que adquiriram e é agora parte da sua rede). Em média, limpamos 132 arquivos por site comprometido. Isso mostra o quão profundo o malware pode ser incorporado dentro de um site.

Ao longo do trimestre anterior, 66% de todos os compromissos tinha um backdoor baseado em PHP escondido dentro do site. Esses backdoors permitem que um invasor retenha o acesso ao ambiente muito depois de ter infectado com sucesso o site e executar seus atos nefastos. Estes backdoors permitem que os atacantes burlem quaisquer controles de acesso existentes no ambiente do servidor web. A eficácia desses backdoors vem de seu caráter ilusório para a maioria das tecnologias de escâneres de sites. Os backdoors muitas vezes são bem escritos, nem sempre empregam ofuscação e não apresentam sinais exteriores de um compromisso para os visitantes do site.

Backdoors funcionam muitas vezes como o ponto de entrada para o meio ambiente, compromisso pós-sucesso (ou seja, a capacidade de continuar a comprometer sites). Geralmente, os backdoors não são a intenção final do atacante. A intenção é o próprio ataque, que ocorre na forma de spam de SEO condicional, redirecionamentos maliciosos, ou infecções drive-by-download.

Tendências de Infecções

Glossário de Termos

Família de Malware

Descrição

BackDoor

Arquivos usados para reinfectar e reter o acesso.

Malware

Termo genérico usado para código do lado do navegador usado para criar drive by downloads.

SPAM-SEO

Compromisso que tem como alvo o SEO do site.

HackTool

Exploit ou ferramenta DDOS usada para atacar outros sites.

Mailer

Spam gerador de ferramentas, desenvolvido para abusar de recursos do servidor.

Defaced

Hacks que inutilizam a página inicial do site e promovem temas não-relacionados (i.e., Hacktavismo).

Phishing

Usado para phishing lures nos quais a tentativa de ataque engana usuários para que compartilhem informações confidenciais (informação do log in, cartão de crédito, etc..)

Aproximadamente 31% de todos os casos de infecção são mal utilizados para campanhas de spam de SEO (através de PHP, injeções de banco de dados ou redirecionamentos .htaccess), onde o site foi infectado com conteúdo de spam ou tenha redirecionado visitantes para páginas específicas de spam. O conteúdo usado é muitas vezes sob a forma de anúncios farmacêuticos (isto é, disfunção erétil, Viagra, Cialis, etc...) e inclui outras injeções para indústrias como a de Moda e de Entretenimento (isto é, Cassino, Pornografia).

O spam de SEO compõe 31% das infecções que estamos vendo, o que é interessante, especialmente porque não está nas advertências do Google ou de outros motores de pesquisa que estão incluídos no relatório. Ano após ano, estamos vendo esse número continuar a subir. Em 2014, o spam de SEO era cerca de 20% do total de sites comprometidos; em 2015, cresceu para 28% e a partir de 2016, está em 32% e aumentando.

O número de invasões caiu para aproximadamente 3%, mas isso não é surpreendente. Os benefícios econômicos de ataques que comprometem sites com sucesso está crescendo. À medida que mais atores estão envolvidos, mais ênfase é colocada em fazer algo substancial com o ambiente comprometido.

Aproximadamente 70% de todos os sites infectados tinham algum tipo de backdoor. Isso vai ao encontro da crescente sofisticação pelos atacantes para garantir que eles mantenham o controle do meio ambiente, é também uma das principais causas de reinfecções de sites. Eles apresentam um desafio único para os proprietários de sites. A maioria das tecnologias de escaneio são ineficazes para detectar esses payloads.

Comparação de Tendências de Infecções

Em média, limpamos 132 arquivos por site comprometido. Isso mostra quão profundamente o malware pode ser incorporado dentro de um site. Isso também explica por que o Google vê uma taxa de reinfecção de 30% através de sua ferramenta para webmasters, o que se coaduna diretamente aos desafios que os proprietários de sites enfrentam quando tentam corrigir seus próprios sites infectados.

Quando olhamos para os tipos de assinatura, podemos ver o top malware do trimestre:

Top malwares

O backdoor Filesman é número 1 em termos do tipo de assinatura que encontramos a maioria das vezes nos sites comprometidos que limpamos. Filesman é um backdoor rico em recursos que permitem um controle completo do site pelo atacante.

CONCLUSÃO

Se há uma coisa que aprendemos com este relatório é que software vulnerável é um grande problema e que contribui para um grande número de compromissos. A orientação geral de se manter atualizado está caindo em ouvidos surdos. Algumas iniciativas, como as realizadas por WordPress - com ênfase na compatibilidade de versões anteriores e atualizações automáticas - têm efeitos positivos sobre o núcleo da plataforma, mas nós sabemos que a maioria dos compromissos são provenientes de componentes extensíveis de uma plataforma, não do seu núcleo. Além disso, essas iniciativas não são globais em todas as plataformas.

Podemos esperar que, como tecnologias de código aberto continuam a mudar a indústria do site, vamos continuar a ver a evolução na forma como os sites estão sendo comprometidos. À medida que a aptidão técnica necessária para ter um site diminui, o inverso será visto nos ataques, que vão aumentando à medida que são dependentes de seu elo mais fraco, o webmaster. Há uma queda acentuada no conhecimento necessário para ter um site, que cria uma mentalidade errada nos proprietários de sites e prestadores de serviços similares. Isso leva ao despertar de proprietários de sites para o fato de que os organismos estabelecidos, como o Google, tomam uma posição dura contra sites maliciosos.

O argumento de que os proprietários de sites devem atualizar simplesmente, não vai ser suficiente. A maioria desses sites são apenas uma parte de um grupo muito maior e mais complexo, do ambiente em que os proprietários de sites integram tudo o que têm acesso. Não é que o proprietário de um site precisa se concentrar na única instância do WordPress, Joomla!, Magento ou Drupal, mas sim em todos os sites dentro do mesmo ambiente para evitar coisas como a contaminação cruzada local. Isso é complicado devida às diferentes opções de implantação e configuração disponíveis, e devido a falta geral de conhecimento por parte do dono do site. Esses desafios não estão apenas afetando pequenos proprietários de sites, mas podem ser vistos em grandes organizações. Infelizmente, a distribuição do conhecimento e da educação não é tão rápido como a adoção do usuário.

Obrigado por ler o nosso relatório e esperamos que você tenha achado-o interessante . Se houver informações adicionais que poderíamos acompanhar e relatar, por favor nos avise. Temos novos conjuntos de dados e já começamos a rastrear para o relatório Q2 do qual esperamos que vocês gostem.

Baixar o Relatório