Relatório de Sites Hackeados 2016 - T2

Tendências: como sites são hackeados e tipos de malware.

Esse relatório é baseado nas informações coletadas e analisadas pela Equipe de Remediação da Sucuri, que inclui a Equipe de Resposta a Incidentes e a Equipe de Pesquisa de Malware. Analisamos mais de 9.000 sites infectados e compartilhamos estatísticas relativas a:

  • Aplicações CMS de código aberto afetadas
  • Detalhes sobre a plataforma WordPress
  • Listas negras notificando sites hackeados
  • Famílias de Malware e seus efeitos
Blacklist

Introdução

O relatório da Tendência de Sites Hackeados foi primeiramente introduzido no Primeiro Trimestre de 2016. Foi o primeiro relatório do seu tipo a partir da metadata colecionada pela Equipe de Remediação da Sucuri. Esse relatório será mais sucinto e direto na sua abordagem e expande a informação coletada em outros trimestres. Toda a informação inclui atualizações do segundo trimestre de 2012.

A única constante deste relatório são os administradores de sites despreparados e seus efeitos nos sites.

Este relatório demonstrará as tendências com base nas aplicações CMS mais afetadas pelas infecções de sites e demonstrará os tipos de famílias de malware que estão sendo empregadas pelos atacantes. Além disso, introduzimos novos conjuntos de dados sobre o número de sites notificados durante a fase de remediação e detalhes opcionais sobre WordPress.

Este relatório é baseado em uma amostra representativa do número total de sites que a equipe da Sucuri limpou no segundo trimestre de 2016. Um total de 9.771 sites infectados foram analisados neste relatório. Essa amostra forneceu informações mais consistentes para preparar este relatório.

Baixe o Relatório

Análise de CMS

Com base em nossos dados, assim como no relatório do primeiro trimestre de 2016, as três plataformas CMS mais afetadas foram WordPress, Joomla! e Magento. Isso não significa que essas plataformas são mais ou menos seguras do que outras.

Na maioria dos casos, as infecções analisadas tinham pouca ou nenhuma relação com o núcleo da aplicação CMS em si, mas com sua implantação, configuração e manutenção indevida pelos webmasters e seus hosts.

Infection distribution

WordPress teve uma queda de 4% dos 78% no primeiro trimestre (T1) para 74% no segundo trimestre (T2). Joomla! teve um aumento de 2,2% dos 14% no T1 para 16,2% no T2. Todas as outras plataformas mantiveram uma distribuição constante (com mudança mínima).

No T2, 74% dos sites infectados foram construídos na plataforma do WordPress; uma queda de 4% em relação ao T1. Similarmente ao ocorrido no T1, Undefined, ModX e vBulletin foram removidos do relatório devido a seus baixos números relativos.

Affected cms month

Análise de CMS Desatualizados

Enquanto a principal causa de infecções resultou de vulnerabilidades encontradas nos componentes extensíveis das aplicações CMS, é importante analisar e compreender o estado do CMS nos sites em que trabalhamos. Softwares desatualizados têm sido uma questão séria desde que a primeira parte do código foi colocada no papel virtual. Com tempo, motivação e recursos suficientes, os atacantes irão identificar e potencialmente explorar vulnerabilidades de software.

Para tornar os dados administráveis, os dividimos em duas categorias distintas específicas para o núcleo da aplicação, não para seus componentes extensíveis:

  • CMS Atualizado
  • CMS Desatualizado

Um CMS foi considerado desatualizado se não estava na versão mais recente de segurança recomendada ou não tinha corrigido o ambiente com atualizações de segurança disponíveis (como é o caso em implantações Magento) no momento em que a Sucuri foi contratada para executar serviços de resposta a incidentes.

Out of date cms

Baseado nessa informação, vimos uma diminuição de 1% nos sites WordPress desatualizados e um aumento de 4% nas instalações Drupal desatualizadas. Ainda é cedo para afirmar que se trata de um indicador de melhora na administração de sites e na postura dos proprietários de sites, já que essas mudanças ainda estão na margem aceitável de desvio padrão.

Assim como os resultados no T1, sites Joomla! (86%) e Magento (96%) lideraram a lista da relação de sites infectados e plataformas mal administradas. O desafio de estar atualizado deriva de três domínios: instalações altamente customizadas, problemas de compatibilidade com versões anteriores e falta de equipe especializada para ajudar na migração. Isso tende a criar problemas com a instalação de upgrades e patches para os donos dos sites, devido a problemas de incompatibilidade e potenciais impactos para a disponibilidade do site.

Análise do WordPress

Similarmente ao T1, fornecemos uma análise profunda sobre a plataforma WordPress, já que constitui 74% da nossa amostra. O top 3 dos plugins / scripts WordPress continua a ser TimThumb, Revslider e Gravity Forms:

Q1 vs Q2 Comparison Between Top Impacting Plugins

Este foi o top três dos plugins que estavam desatualizados e vulneráveis quando um site contratou a Sucuri para seus serviços de limpeza:

Out of date plugins

A mudança mais significativa deu-se em relação ao Gravity Forms, em que identificamos uma melhora de 29% no impacto do plugin nos sites hackeados. Isso pode ter ocorrido devido a uma série de fatores, dentre os quais os mais relevantes seriam: a fatia de mercado afetada que foi consertada com um patch, ou protegida, ou ambos. De novo, é prematuro tirar conclusões, continuaremos monitorando nos próximos trimestres.

Todos os três plugins tiveram uma correção disponível por mais de um ano, com TimThumb há vários anos (quatro anos para ser exato, por volta de 2011). Gravity Forms recebeu um patch na versão 1.8.20, em dezembro de 2014 para responder a vulnerabilidade de upload de arquivos arbitrários (Arbitrary File Upload - AFU) que está causando os problemas identificados neste relatório. RevSlider recebeu um patch sem grandes anúncios em fevereiro de 2014, divulgado publicamente pela Sucuri em setembro de 2014. Compromissos em massa começaram desde dezembro de 2014 e continuaram. Isso mostra e reitera os desafios que a comunidade enfrenta em conscientizar os proprietários de sites dos problemas, permitindo que os corrijam e facilitem a manutenção diária e administração de sites por seus webmasters. Timthumb foi de longe a revelação mais interessante desta análise, especialmente porque ainda se trata de um hack importante.

Neste ralatório, expandimos nossos dados de telemetria para incluir informação que possa ser valiosa com o passar do tempo. A primeira parte da informação é sobre a distribuição dos plugins mais comuns nos sites infectados analisados.

Observação: Se qualquer % de plugin não combinar com a utilização geral do plugin, é provável que seja um indício de que há alguma coisa errada.

WordPress Plugin Usage

No momento, não temos uma porcentagem correta sobre a utilização dos plugins em todos os sites analisados, o que torna a comparação mais difícil, mas é algo que estamos pesquisando para melhorar nossos próximos relatórios trimestrais.

Em média, um site comprometido tem 12 plugins instalados.

Análise de Listas Negras

No nosso relatório anterior, perdemos a oportunidade de incluir dados sobre listas negras - especificamente, qual dos sites infectados foram colocados na lista negra e por quem. Entender como listas negras funcionam e como afetam a reputação da marca de um site é importante e deve ser um conjunto de dados monitorado por cada proprietário de sites.

A notificação por estar em uma lista negra, como o Google, pode ser devastadora para a funcionalidade de um site. Notificações podem afetar como os visitantes acessam um site, como o site é classificado nas Páginas de Resultados do Motor de Busca (Search Engine Result Pages - SERP) e também podem afetar negativamente meios de comunicação, como emails. De acordo com nossa análise, cerca de 18% dos sites infectados foram colocados na lista negra. Isso indica que aproximadamente 82% dos milhares de sites infectados com os quais trabalhamos estavam distribuindo malware, o que destaca a necessidade e a importância de um acompanhamento contínuo de sua propriedade web.

Blacklist Warning Distribution Between Providers

Em nossas verificações, usamos algumas listas negras diferentes. A lista negra mais proeminente era Google Safe Browsing, responsável por 52% dos sites na lista negra (dos 18%), que também é 10% do total de sites infectados com os que trabalhamos. Norton e Yandex tinham, individualmente, mais de 30% das detecções de listas negra e SiteAdvisor teve detecção de mais de 11%. Todas as outras listas negras que verificamos notificam menos de 1% e foram retiradas do relatório (incluindo: PhishTank, Spamhaus e outros).

Observação: A porcentagem total nunca será de 100%, já que alguns dos sites foram notificados por múltiplas listas negras ao mesmo tempo.

Famílias de Malware

Parte de nossa pesquisa em relação ao trimestre passado inclui analisar as várias tendências da infecção, especificamente como elas se relacionam às famílias de malware. Famílias de malware permitem que nossa equipe avalie e compreenda melhor as táticas, técnicas e procedimentos (TTPs) dos atacantes, o que inevitavelmente nos leva a suas intenções.

Um site hackeado pode ter vários arquivos modificados com diferentes famílias de malware (um relacionamento de muitos-para-muitos). Depende da intenção ou do objetivo do atacante na forma como eles planejam alavancar seu novo asset (asset é o termo usado para descrever o site que adquiriram e é agora parte da sua rede). Em média, limpamos 80 arquivos por site comprometido neste trimestre (diferentemente dos mais de 160 arquivos limpados por site no Primeiro Trimestre).

Infections trends

Pequeno Glossário de Termos

Família de Malware

Descrição

BackDoor

Arquivos usados para reinfectar e reter o acesso.

Malware

Termo genérico usado para código do lado do navegador usado para criar drive by downloads.

SPAM-SEO

Compromisso que tem como alvo o SEO do site.

HackTool

Exploit ou ferramenta DDOS usada para atacar outros sites.

Mailer

Spam gerador de ferramentas, desenvolvido para abusar de recursos do servidor.

Defaced

Hacks que inutilizam a página inicial do site e promovem temas não-relacionados (i.e., Hacktavismo).

Phishing

Usado para phishing lures nos quais a tentativa de ataque engana usuários para que compartilhem informações confidenciais (informação do log in, cartão de crédito, etc..)

Ao longo do trimestre anterior, 71% de todos os compromissos tinha um backdoor baseado em PHP escondido dentro do site; um aumento modesto em relação ao Primeiro Trimestre (4%). Esses backdoors permitem que um invasor tenha acesso ao ambiente muito depois de ter infectado com sucesso o site e executar seus atos nefastos. Esses backdoors permitem que os atacantes contornem quaisquer controles de acesso existentes para o ambiente do servidor web. A eficácia desses backdoors vem de seu caráter de ludibriar a maioria das tecnologias de escâneres de sites. Os backdoors, muitas vezes, também são bem escritos, mas nem sempre empregam ofuscação e não apresentam sinais exteriores de um compromisso para os visitantes do site.

Backdoors funcionam muitas vezes como o ponto de entrada para o meio ambiente, compromisso pós-sucesso (ou seja, a capacidade de continuar a comprometer sites). Geralmente, os backdoors não são a intenção final do atacante. A intenção é o próprio ataque, que ocorre na forma de spam de SEO condicional, redirecionamentos maliciosos, ou infecções drive-by-download.

Cerca de 38% (aumento de 6% em relação ao T1) de todos os casos de infecção são mal utilizados para campanhas de spam de SEO (através de PHP, injeções na base de dados ou redirecionamentos .htaccess), onde o site foi infectado com conteúdo de spam ou com redirecionamentos de visitantes para páginas específicas de spam. O conteúdo pode ser usado na forma de canais de anúncios farmacêuticos (disfunção erétil, Viagra, Cialis, etc.) e inclui outras injeções para indústrias, como a moda e entretenimento (Casino, pornografia). É interessante observar que o spam de SEO compõe 38% das infecções que estamos vendo, especialmente porque não é parte das notificações do Google ou de outros motores de busca incluídos neste relatório.

Infection trends comparison

O número de defacements continou com a tendência de queda (~3%) e condiz com a evolução de atacantes e de suas TTPs.

Conclusão

Este relatório confirma o que já é conhecido; o software vulnerável continua a ser um problema e é a principal causa de hacks de sites. Enquanto a amostragem de dados foi menor do que o esperado, a relação entre os vários domínios analisados foi similar.

Algumas inferências deste relatório incluem:

  • WordPress continua a liderar em número de sites infectados que limpamos (74%) e o top três dos plugins que afetam essa plataforma continua a ser o Gravity Forms, TimThumb e RevSlider.
  • WordPress viu um declínio na proporção de core software desatualizado e sites infectados (por 1%), enquanto Drupal tem uma diminuição de 3%, (caindo para 84%). Sites Joomla! e Magento continuam a liderar a proporção de plataformas desatualizadas.
  • Novos conjuntos de dados mostram que, em média, instalações WordPress tem 12 plugins e o relatório fornece uma lista dos plugins mais populares nos sites comprometidos vistos pela Sucuri.
  • Novos conjuntos de dados foram introduzidos, mostrando o percentual de sites infectados que estão em alguma lista negra. Somente 18% desses sites estavam notificados por alguma lista negra e o Google formava 52% desse grupo (10% do total de sites infectados).
  • A análise das famílias de malware mostrou que o spam de SEO continua na ascendência, aumentando para 38% neste trimestre (um aumento de 6%) e os backdoors também aumentaram, para 71%.

Há pouca informação para indicar que há qualquer mudança ocorrendo entre a informação disseminada pelos profissionais da segurança da informação (InfoSec) e as ações dos administradores de sites.

Similar ao que relatamos no T1, podemos esperar que tecnologias de código aberto continuem a mudar a indústria de sites. Continuaremos a ver evoluções no modo em que os sites são comprometidos. Há atualmente um declínio acentuado no conhecimento necessário para se ter um site, o que gera um pensamento equivocado tanto para os donos de sites, quanto para os serviços fornecidos.

Obrigado por ler o nosso relatório. Esperamos que tenha gostado. Se houver qualquer informação adicional que deveríamos acompanhar e relatar, nos avise. Temos novos dados que estamos acompanhando para fazer o relatório T3.