Relatório de Sites Hackeados 2016 - T3

Tendências: como sites são hackeados e tipos de malware.

Este relatório é baseado nas informações coletadas e analisadas pela Equipe de Remediação da Sucuri, que inclui a Equipe de Resposta a Incidentes e a Equipe de Pesquisa de Malware. Analisamos mais de 8.000 sites infectados e compartilhamos estatísticas relativas a:

  • Aplicações CMS de código aberto afetadas
  • Detalhes sobre a plataforma WordPress
  • Listas negras que notificam sites hackeados
  • Famílias de Malware e seus efeitos
Blacklist

Introdução

O Relatório da Tendências de Sites Hackeados é um relatório feito pela Sucuri que resume as últimas tendências, táticas, técnicas e procedimentos vistos pela Equipe de Remediação da Sucuri. Este relatório foi feito considerando os dados coletados nos trimestres anteriores e as atualizações do terceiro trimestre de 2016/T3.

A única constante deste relatório são os administradores de sites despreparados (webmasters) e os efeitos que eles possuem nos sites.

Este relatório demonstrará: as tendências com base nas aplicações CMS mais afetadas pelas infecções de sites, os tipos de famílias de malware que estão sendo empregadas pelos atacantes e a situação atual das notificações de sites em listas negras. Neste relatório não se encontram os dados relativos às configurações de plugins.

Este relatório é baseado em uma amostra representativa do número total de sites que a equipe de remediação da Sucuri limpou no terceiro trimestre de 2016. Um total de 7.937 sites infectados foram analisados neste relatório. Essa amostragem foi a representação mais exata do total de sites que a Sucuri trabalhou neste trimestre.

Baixe o Relatório

Análise de CMS

Com base em nossos dados, assim como nos relatórios do primeiro e segundo trimestre de 2016, as três plataformas CMS mais afetadas foram WordPress, Joomla! e Magento. Isso não significa que essas plataformas são mais ou menos seguras do que outras.

Na maioria dos casos, as infecções analisadas tinham pouca ou nenhuma relação com o núcleo da aplicação CMS em si, mas com suas implantação, configuração e manutenção indevidas pelos webmasters e seus hosts.

Infection distribution WordPress, Joomla, Drupal, and Magento

A telemetria do T3 mostra que as coisas foram relativamente estáveis em todas as plataformas. As mudanças gerais pareciam ser marginais: Joomla! e Magento tiveram um aumento de 1%. O modesto aumento no número de sites Magento infectados não é uma surpresa, levando em consideração a tendência deste ano de ataques a plataformas usadas para o comércio online (e-commerce).

Hacked CMS month WordPress, Joomla, Drupal, and Magento

O gráfico acima fornece uma ilustração mensal da distribuição de plataforma para os quatro principais aplicativos CMS que monitoramos.

Análise de CMS Desatualizado

Enquanto a principal causa de infecções foram consequências de vulnerabilidades encontradas nos componentes extensíveis das aplicações CMS (extensões, plugins, módulos), é importante analisar e compreender o estado do CMS nos sites em que trabalhamos.

  • CMS Atualizado
  • CMS Desatualizado

Um CMS foi considerado desatualizado se não estava na versão mais recente de segurança recomendada ou não tinha corrigido o ambiente com atualizações de segurança disponíveis (como é o caso em implantações Magento) no momento em que a Sucuri foi contratada para executar serviços de resposta a incidentes.

Out of date CMS statistics

A mudança mais surpreendente neste trimestre foi o aumento de 6% em versões desatualizadas e vulneráveis das instalações do WordPress na hora da infecção. Nos T1 / T2, 56% e 55% dos sites WordPress hackeados tinham instalações desatualizadas.

Drupal também teve um aumento de 2% do T2 para o T3.

Similarmente aos trimestres anteriores, sites Magento (94%) e Joomla! (84%) estavam desatualizados e vulneráveis no ponto da infecção.

Não houve mudança na razão pela qual acreditamos que isso está acontecendo. O problema parece ser proveniente de três áreas: implementações altamente personalizadas, questões com compatibilidade com versões anteriores e a falta de pessoal disponível para auxiliar na migração dentro das respectivas organizações. Desse modo, surgem complicações para a implementação de atualizações e correções, como incompatibilidades e potenciais impactos na disponibilidade do site.

O aspecto mais preocupante desta tendência é a plataforma Magento, uma das principais plataformas usadas por grandes organizações para o comércio online. Há um aumento no interesse dos atacantes, que visam a plataforma para seu ambiente de dados ricos, segmentando os dados do portador de cartão (ou seja, informações de cartão de crédito, incluindo informações de PAN - Permanent Account Number). Traremos mais informações sobre esse assunto no relatório T4.

Análise do WordPress

Assim como fizemos nos trimestres anteriores, fornecemos uma análise profunda sobre a plataforma WordPress, já que constitui 74% da nossa amostra.

O top 3 dos plugins WordPress continua a ser TimThumb, Revslider e Gravity Forms:

Top hacked WordPress plugins

Este foi o top três dos plugins que estavam desatualizados e vulneráveis quando um site contratou a Sucuri para seus serviços de limpeza:

Out of date plugins

No terceiro trimestre vimos uma melhora no Revslider, caindo de 10% para 8,5%, e em GravityForms, caindo de 6% para 4%. O número total de instalações infectadas do WordPress como resultado destas três plataformas caiu significativamente este ano, de 25% no primeiro trimestre, para 18% no terceiro trimestre. A diminuição contínua é esperada porque mais proprietários de sites e hosts continuam a consertar seus ambientes desatualizados de maneira pró-ativa. O conjunto de dados mais interessante e possivelmente perturbador é a falta de mudança nos números relativos ao TimThumb. Acreditamos que isso tenha relação ao fato de que muitos proprietários de sites não sabem que possuem esse script em seu site, semelhantemente ao que vemos ocorrer com o Revslider.

Os dados mostram que, à medida que esses plugins são corrigidos, outros vão começar a tomar o seu lugar. No entanto, atualmente não existem outros plugins que estão sendo usados em massa que representam mais de 1% do nosso conjunto de dados.

Observação: Todos os três plugins possuem uma correção disponível por mais de um ano, com TimThumb há vários anos (quatro anos para ser exato, por volta de 2011). Gravity Forms recebeu um patch na versão 1.8.20, em dezembro de 2014 para responder a vulnerabilidade de upload de arquivos arbitrários (Arbitrary File Upload - AFU) que está causando os problemas identificados neste relatório. RevSlider recebeu um patch sem grandes anúncios em fevereiro de 2014, divulgado publicamente pela Sucuri em setembro de 2014. Compromissos em massa começaram desde dezembro de 2014 e continuaram. Isso mostra e reitera os desafios que a comunidade enfrenta para conscientizar os proprietários de sites dos problemas, permitindo aos webmasters corrigir esses problemas e facilitando a manutenção e administração diária de sites.

Infelizmente, neste relatório tivemos de remover a distribuição de plugins devido a dados corrompidos durante a análise. Esperamos reintroduzir este conjunto de dados nos próximos trimestres.

Análise de Listas Negras

No terceiro trimestre, continuamos nossa análise de listas negras. As listas negras de sites têm a capacidade de afetar adversamente os proprietários de sites, por isso é importante entender como remover uma notificação de lista negra.

A notificação de um site por uma autoridade de lista negra, como o Google, pode ser devastador para a funcionalidade do site. Isso pode afetar negativamente como os visitantes acessam o site, como o site é classificado nas páginas de resultados do mecanismo de busca (SERP) e os meios de comunicação, como o e-mail.

De acordo com nossa análise, aproximadamente 15% dos sites infectados estavam na lista negra (uma queda de 3% em relação a 18% no segundo trimestre). Isso indica que aproximadamente 85% dos milhares de sites infectados com os quais trabalhamos estavam distribuindo livremente malware. Isso destaca a importância do monitoramento contínuo de sua propriedade da web para além dos meios tradicionais como as ferramentas para webmasters do Google e Bing. Esses dados também destacam que o monitoramento da lista negra não é suficiente para detectar se um site foi comprometido.

Website blacklist warning distribution Google, McAfee, Norton

Em nossos escaneios, verificamos várias listas negras diferentes. A lista negra mais proeminente era o Google Safe Browsing, que representou 69% dos sites da lista negra, ou 10% do total de sites infectados com os quais trabalhamos. O Norton Safe Web tinha 24% do total de listas negras e o McAfee SiteAdvisor 10%. Todas as outras listas negras que verificamos resultaram em uma amostragem de menos de 1% e foram removidas do relatório (incluindo: PhishTank, Spamhaus e algumas outras menores).

Observação: A porcentagem nunca será 100%, pois alguns sites foram sinalizados por várias listas negras ao mesmo tempo.

Famílias de Malware

Parte de nossa pesquisa no último trimestre inclui analisar as várias tendências de infecção, especificamente como elas se correlacionam com nossas famílias de malware. As famílias de malware permitem que nossa equipe avalie e compreenda melhor as táticas, técnicas e procedimentos dos invasores (tactics, techniques and procedures - TTP), o que inevitavelmente nos leva a suas intenções.

Um site invadido pode ter vários arquivos modificados com diferentes famílias de malware neles (um relacionamento muitos-para-muitos). Depende da intenção do atacante (ação sobre o objetivo) e de como eles planejam usar seu novo recurso (ou seja, o site que agora faz parte de sua rede).

Infections trends

Pequeno Glossário de Termos

Família de Malware

Descrição

Backdoor

Arquivos usados para reinfectar e reter o acesso.

Malware

Termo genérico usado para código do lado do navegador usado para criar drive by downloads.

Spam-SEO

Infecção que tem como alvo o SEO do site.

HackTool

Exploit ou ferramenta de DDOS usada para atacar outros sites.

Mailer

Spam que cria ferramentas, desenvolvidas para abusar de recursos do servidor.

Defaced

Hacks que inutilizam a página inicial do site e promovem temas não-relacionados ao conteúdo do site (Hacktavismo).

Phishing

Usado para ataques de phishing lures nos quais a tentativa de ataque engana usuários para que compartilhem informações confidenciais (informação do log in, cartão de crédito...)

Ao longo do trimestre anterior, 72% de todos os compromissos tinham um backdoor baseado em PHP escondido dentro do site. Esses backdoors permitem que um invasor tenha acesso ao ambiente muito depois de ter infectado com sucesso o site e executar seus atos nefastos. Esses backdoors permitem que os atacantes burlem quaisquer controles de acesso existentes para o ambiente do servidor web. A eficácia desses backdoors decorre do seu caráter de ludibriar a maioria das tecnologias de escâneres de sites.

Geralmente, os backdoors funcionam como o ponto de entrada para o ambiente, compromisso pós-sucesso (ou seja, a capacidade de continuar a comprometer sites). Como regra geral, os backdoors não são a intenção final do atacante. A intenção é o próprio ataque, que ocorre na forma de spam de SEO condicional, redirecionamentos maliciosos, ou infecções drive-by-download.

Aproximadamente 37% de todos os casos de infecções têm seus usos desviados para campanhas de spam de SEO (através de PHP, injeções na base de dados ou redirecionamentos .htaccess). Nesses casos, o site foi infectado com conteúdo de spam ou está redirecionando seus visitantes para páginas específicas de spam. O conteúdo pode ser usado na forma de anúncios farmacêuticos (disfunção erétil, Viagra, Cialis, etc.) e inclui outras injeções para indústrias, como moda e entretenimento (Rayban, Casino, pornografia).

Infection trends comparison

Uma observação muito interessante foi o acentuado aumento nos mailer scripts no terceiro trimestre, aumentando 12%. No segundo trimestre os mailer scripts contabilizaram 7%, enquanto no terceiro trimestre subiram para 19%. Houve também um modesto aumento de 4% nas ferramentas de hacking encontradas em sites infectados. Abusar recursos do sistema tendo como objetivo emails de spam não é uma novidade, porém o aumento acentuado para 19% em um trimestre demonstra que mais atacantes estão usando esta técnica ou novos métodos melhorados de abusar esses recursos.

Outra observação interessante foi o declínio de 10% na distribuição de malware, de 60% no segundo trimestre para 50% no terceiro trimestre. é difícil dizer se isso é uma anomalia sazonal ou outra razão não identificada. O relatório do quarto trimestre explicará melhor o motivo dessas últimas tendências.

Além disso, analisamos o que os invasores modificaram uma vez que um compromisso foi bem sucedido e fomos capazes de atribuí-los aos três arquivos a seguir:

Top 3 modified files

Nosso serviço de resposta a incidentes também limpou aproximadamente 92 arquivos em cada solicitação de remoção de malware. Isso é um aumento de 15% em relação ao segundo trimestre. Isso não necessariamente tem relação a hacks mais complexos, mas trata-se de um aumento na profundidade de arquivos sendo afetados com cada hack. Também diz respeito a questão de que a limpeza do sintoma em um arquivo muitas vezes não é suficiente para remover completamente uma infecção.

Number of cleaned files

Conclusão

Este relatório confirma o que já se sabia: software vulnerável continua a ser um problema e é a principal causa dos hacks a sites.

Neste relatório infere-se que:

  • WordPress continua a liderar em número de sites infectados que limpamos (74%).
  • O top três dos plugins que afetam essa plataforma continua a ser o Gravity Forms, TimThumb e RevSlider, caindo de 25% no T1 para 18% no T3. No entanto, houve um aumento notável em seus impactos.
  • Houve um aumento notável em instalações do WordPress desatualizadas no ponto de infecção, que aumentou de 55% no segundo trimestre para 61% no terceiro trimestre. Ambos Joomla! e Magento continuam a liderar e são as plataformas que mais apresentaram instalações vulneráveis desatualizadas no ponto de infecção.
  • A telemetria de listas negras mostrou uma redução de 3% nos sites que estão na lista negra (apenas 15%), aumentando o número de sites infectados que não são detectados pelos motores da lista negra em 85%. O Google aumentou sua participação para 69% de 52% no segundo trimestre.
  • A análise de famílias de malware mostrou que o spam SEO continua a estar em ascensão, mantendo-se estável em 37% (1% a menos do que no T2). Também mostrou um forte aumento nos mailer scripts, de 12% para 19%, e uma redução de 10% na distribuição de malware, de 60% no segundo trimestre para 50% no terceiro trimestre.
  • Um novo conjunto de dados foi introduzido neste trimestre que descreveu quais arquivos os hackers estão modificando de forma mais consistente com cada incidente: index.php (25%), header.php (20%), e .htaccess (10%).

Os dados ainda não indicam que há alguma mudança ocorrida devido a relação entre as orientações disseminadas por profissionais de segurança da informação (InfoSec) e as ações que os administradores de sites estão tomando.

Semelhante ao que relatamos em trimestres anteriores, podemos esperar que, como as tecnologias de código aberto continuam a mudar, a indústria de sites continuará a ver as evoluções na forma como os sites estão sendo comprometidos. Há atualmente um grande declínio no conhecimento requerido para se ter um site, o que cria uma mentalidade errada tanto para os proprietários do site, como para os fornecedores de serviço.

Obrigado por ler o nosso relatório. Esperamos que tenha gostado. Se houver qualquer informação adicional que deveríamos acompanhar e relatar, nos avise. Estamos acompanhando novos dados para fazer o relatório T4.