Siti hackerati: report 2017 di Sucuri

siti-hackerati-report-sucuri

Siti hackerati: report 2017 di Sucuri

Siti hackerati: report 2017 di Sucuri

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Siti hackerati: le ultime tendenze di malware e hacking nei siti Web compromessi.

Questo rapporto si basa sui dati raccolti e analizzati dal Sucuri Remediation Group (RG), che comprende l’Incident Response Team (IRT) e il Malware Research Team (MRT). Analizza oltre 34.000 siti Web infetti e condivide le statistiche associate a:

  • Applicazioni CMS open source interessate
  • Analisi della black list
  • Famiglie di malware e loro effetti

Il rapporto Trend siti Web compromessi è un rapporto prodotto da Sucuri. Riassume le ultime tendenze dei bad actors, identificando le ultime tattiche, tecniche e procedure (TTP) viste dal Remediation Group (RG). Questo rapporto si basa sui dati dei trimestri precedenti, compresi i dati aggiornati per il 2017.

L’unica costante che troverai in questo rapporto sono le problematiche relative ad amministratori di siti web poco qualificati (ad es. I webmaster) e il loro effetto sui siti web.

Questo rapporto fornirà le tendenze basate sulle applicazioni CMS maggiormente interessate dalle compromissioni del sito, dal tipo di famiglie di malware utilizzate e dagli aggiornamenti sullo stato della blacklist del sito. Non considera i dati relativi alle configurazioni dei plugin di WordPress.

Questo rapporto si basa su un campione rappresentativo del numero totale di siti in cui la Sucuri RG ha eseguito servizi di risposta agli incidenti. Un totale di 34.371 siti Web infetti sono stati analizzati in questo rapporto. Questo esempio ha fornito una rappresentazione dei siti Web infetti elaborati dal gruppo di bonifica nel 2017.

Scarica rapporto

 

 

Analisi CMS siti hackerati

Sulla base dei nostri dati, le tre piattaforme CMS più comunemente infettate sono WordPress, Joomla! e Magento. Questi dati non implicano che queste piattaforme siano più o meno sicure di altre.

Nella maggior parte dei casi, i siti compromessi che sono stati analizzati avevano poco o nulla a che fare con il nucleo dell’applicazione CMS stessa, ma più con la sua implementazione, configurazione e manutenzione generale impropria da parte dei webmaster.

Siti hackerati: distribuzione piattaforme

Siti hackerati: distribuzione piattaforme

 

La telemetria del 2017 indica uno spostamento delle infezioni da CMS:

  1. Le infezioni in WordPress sono aumentate dal 74% del Q3 del 2016 all’83% nel 2017.
  2. I tassi di infezione di Joomla sono scesi dal 17% nel 2016 al terzo trimestre del 2017 al 13,1%.
  3. I tassi di infezione di Magento sono aumentati marginalmente dal 6% nel 3 ° trimestre 2016 al 6,5% nel 2017.
  4. In Drupal le infezioni sono leggermente diminuite dal 2% nel terzo trimestre 2016 all’1,6% nel 2017.

 

 

Analisi CMS non aggiornati

Mentre la causa principale delle infezioni derivava dalle vulnerabilità riscontrate nei componenti estensibili delle applicazioni CMS (cioè estensioni, plug-in, moduli), è anche importante analizzare e comprendere lo stato dei CMS su cui abbiamo lavorato.

siti hackerati: piattaforme non aggiornate

siti hackerati: piattaforme non aggiornate

Un CMS è stato considerato scaduto se non si trovava nell’ultima versione di sicurezza consigliata o se non avesse aggiornato l’ambiente con gli aggiornamenti di sicurezza disponibili (come nel caso delle distribuzioni di Magento) al momento in cui Sucuri eseguiva i servizi di risposta agli incidenti.

Stiamo assistendo a un cambiamento interessante nel numero di versioni vulnerabili di WordPress al momento dell’infezione. Alla fine del terzo trimestre 2016, il 61% dei siti di WordPress hackerati registrava installazioni obsolete, tuttavia da allora è diminuito. Nel 2017, solo il 39,3% delle richieste di pulizia di WordPress aveva una versione obsoleta.

Joomla! (84%) e Drupal hanno visto un calo di oltre il 15% in versioni obsolete rispetto all’anno precedente, rispettivamente al 69,8% e al 65,3%.

Analogamente agli anni precedenti, i siti Web Magento (80,3%) erano per lo più obsoleti e vulnerabili al momento dell’infezione; anche se questo numero è diminuito di oltre il 13% dal terzo trimestre 2016.

Riteniamo che questo problema derivi da tre aree principali:

  1. implementazioni altamente personalizzate,
  2. problemi con la retrocompatibilità
  3. mancanza di personale disponibile ad assistere con la migrazione a versioni CMS più recenti all’interno delle rispettive organizzazioni.

Queste aree tendono a promuovere problemi di aggiornamento e patching per le organizzazioni che utilizzano i CMS più diffusi per i propri siti Web, con conseguenti potenziali problemi di incompatibilità e impatti sulla disponibilità del sito Web.

Una delle tendenze più rilevanti che abbiamo identificato è con Magento, una piattaforma leader per il commercio online di grandi organizzazioni. A causa del suo ricco ambiente di dati, gli aggressori hanno un grande interesse nel mirare i dati dei titolari di carta (ad es. Informazioni sulla carta di credito e informazioni PAN).

 

 

Analisi della lista nera siti hackerati

Nel 2017, abbiamo continuato la nostra analisi delle black list. Le black list dei siti Web hanno la capacità di influire negativamente sui proprietari dei siti Web, quindi è importante capire come rimuovere un avviso di lista nera.

Quando un sito web è stato contrassegnato da un’autorità di black list (come Google), i risultati sono devastanti. La lista nera può influire sul modo in cui i visitatori accedono a un sito web, su come si colloca nelle pagine dei risultati dei motori di ricerca (SERP) e su come può influire negativamente sui mezzi di comunicazione come la posta elettronica.

Secondo la nostra analisi, circa il 17% dei siti Web infetti sono stati inseriti nella lista nera (un aumento del 2% dal 15% nel terzo trimestre 2016).

Siti hackerati in black list

Siti hackerati in black list

Nelle nostre scansioni, sfruttiamo diverse blacklist. Nel corso del 2017, le due blacklist più importanti sono state Norton Safe Web e McAfee SiteAdvisor; entrambi questi gruppi rappresentavano il 45% dei siti web nella blacklist.
Distribuzione di avvisi nella blacklist del sito web Google, McAfee, Norton

Google Safe Browsing ha catturato solo il 12,9% delle blacklist, un calo rispetto agli anni precedenti.

Diverse altre autorità di black list hanno contrassegnato il 19,8% dei siti web. Queste liste nere includono PhishTank, Spamhaus e un paio di gruppi più piccoli.

Nota: una sovrapposizione delle percentuali riportate è spesso dovuta a più di un’autorità di blacklist che segnala un singolo sito web. Durante l’analisi di questi set di dati, le dimensioni del nostro campione erano più ridotte a causa degli aggiornamenti dei nostri rapporti sulla lista nera. Questo potrebbe aver influenzato i nostri risultati.

 

 

Famiglie di malware

Parte della nostra ricerca del 2017 ha incluso l’analisi delle varie tendenze di infezione, in particolare il modo in cui sono correlate alle nostre famiglie di malware. Le famiglie di malware consentono al nostro team di valutare e comprendere meglio le tattiche, le tecniche e le procedure degli attaccanti (TTP), che inevitabilmente ci portano alle loro intenzioni.

Un sito compromesso può avere più file modificati con diverse famiglie di malware (una relazione molti-a-molti). Dipende dall’intento dell’aggressore (vale a dire, l’azione sull’obiettivo) nel modo in cui intende sfruttare il nuovo asset (ad esempio il sito Web che fa ora parte della loro rete).

siti hackerati: famiglie di malware

siti hackerati: famiglie di malware

 

 

Un rapido glossario di termini

Backdoor: File utilizzati per reinfect e mantenere l’accesso.

Malware: Termine generico utilizzato per il codice lato browser per creare download drive-by.

Spam-SEO: Compromissione che coplisce il lato SEO di un sito web.

Hacktool Exploit o strumenti DDOS: utilizzati per attaccare altri siti.

Mailer: Strumenti di generazione di spam progettati per abusare delle risorse del server.

Deface:  gli hacker che rompono la home page di un sito Web e promuovono un argomento non correlato (ad esempio, l’hacktivism).

Phishing: Utilizzato in esche da phishing in cui gli aggressori tentano di indurre gli utenti a condividere informazioni riservate (ad es. Informazioni di accesso, dati della carta di credito, ecc.)

 

Nel corso dell’anno precedente, il 71% di tutti i siti compromessi aveva una backdoor (basata su PHP) nascosta all’interno del sito. Queste backdoor consentono a un utente malintenzionato di mantenere l’accesso all’ambiente molto tempo dopo aver infettato correttamente il sito e compiuto i loro atti nefandi. Ciò offre agli aggressori l’opportunità di ignorare qualsiasi controllo di accesso esistente nell’ambiente del server web. L’efficacia di queste backdoor deriva dalla loro elusività alla maggior parte delle tecnologie di scansione dei siti Web.

Le backdoor spesso fungono da punto di ingresso nell’ambiente, dopo una compromissione andata a buon fine. Le backdoor stesse non sono spesso l’intento dell’attaccante. L’intento è nell’attacco stesso, che si trova sotto forma di spam condizionale SEO, reindirizzamenti dannosi o infezioni drive-by-download.

Abbiamo anche assistito a un calo marginale nella distribuzione di malware, dal 50% nel terzo trimestre 2016 al 47% nel 2017. Le infezioni da script di Mailer sono rimaste ferme al 19% rispetto al rapporto precedente.

Circa il 44% di tutti i casi di infezione nel 2017 sono stati utilizzati in modo improprio per le campagne di spam SEO; + 7% dal nostro ultimo rapporto.

Queste campagne spesso avvengono tramite PHP, iniezioni di database o reindirizzamenti .htaccess in cui il sito è stato infettato da contenuti di spam o il sito ha reindirizzato i visitatori a pagine specifiche dello spam. Il contenuto utilizzato è spesso sotto forma di annunci pubblicitari farmaceutici (es. Viagra, Cialis, ecc.) E include altre iniezioni per industrie come la moda e l’intrattenimento (Ray-Ban, gioco d’azzardo, pornografia).

Secondo le tendenze annuali per le prime tre minacce, possiamo vedere un graduale aumento di Spam SEO in contrasto con un leggero calo del malware. In generale, la famiglia malware rappresenta una famiglia di attacchi più generica, mentre gli Spam SEO sono attacchi più specifici che mirano alla manipolazione dell’ottimizzazione dei motori di ricerca. L’aspetto più interessante di questo aumento di tendenza è che suggerisce agli aggressori di considerare lo spam SEO un vettore di attacco più redditizio rispetto al malware.

Il nostro servizio di risposta agli incidenti ha ripulito circa 168 file durante ogni richiesta di rimozione malware, ovvero un aumento dell’82% nel numero totale di file del nostro ultimo rapporto per il terzo trimestre 2016.

Questo non necessariamente significa hack più complessi ma porta ad un aumento della quantità dell’attacco dei file che sono interessati da ogni hack. Indica anche che la pulizia di un singolo file spesso non è sufficiente per rimuovere completamente un’infezione.

Inoltre, abbiamo analizzato gli aggressori modificati una volta che un compromesso ha avuto successo e siamo stati in grado di attribuirli ai seguenti tre file:

siti hackerati: Principali file compromessi

siti hackerati: Principali file compromessi

I nostri analisti e ricercatori di dati hanno identificato quali firme di malware erano più comunemente associate a questi file modificati.

Il 19% dei file .htaccess è stato associato alla firma del malware htaccess.spam-seo.redirect.010, anch’essa relativa a htaccess.spam-seo.redirect.006 (15%). Utilizzato nelle campagne Blackhat SEO / spam, il carico utile per queste firme si basa sulle regole .htaccess ed è eseguito direttamente sul server prima del rendering del sito.

Solo il risultato del payload, che può includere contenuti o reindirizzamenti di spam, è visibile nel browser, non nel codice malevolo stesso.

Siti hackeraati: firme malware

Siti hackeraati: firme malware

Abbiamo anche notato due porte che erano comunemente associate ai file .htaccess modificati: htaccess.spam-seo.doorway.003.08 (12%) e htaccess.spam-seo.doorway.003.06 (4%). Queste firme innescano il codice dannoso responsabile della pubblicazione di pagine create per classificarle in modo elevato per query di ricerca specifiche, che quindi reindirizzano il traffico verso una pagina diversa. I reindirizzamenti sono spesso condizionali e attivati ​​in base all’user-agent, referenti o indirizzi IP.

Anche la percentuale dei file .htaccess esaminati è stata collegata alla firma htaccess.phishing.block_bots.001.02. Gli autori di malware li utilizzavano per bloccare i bot e impedire l’indicizzazione e il rilevamento automatico dei loro file di phishing.

Il 18% dei file functions.php erano associati alla firma del malware php.malware.anuna.001.02. Denominato in base alla condizione comunemente richiesta per eseguire il contenuto malevolo, i payload malevoli variano da iniezione di spam, backdoor, creazione di utenti admin canaglia e una varietà di altre attività discutibili.

Abbiamo visto anche la firma php.backdoor .sv1_0_1.001 associato all’8% dei file .htaccess modificati, che perpetra l’accesso malevolo agli ambienti server. Con questa particolare firma, il payload è basato su PHP ed eseguito direttamente sul server mentre il sito viene caricato. L’analisi a livello di server è necessaria per questi tipi di infezioni: solo il risultato del payload è visibile nel browser, che è molto comune per le backdoor e rende impossibile rilevarle a livello di sito. Altre firme comuni associate ai file functions.php includono php.spam-seo.injector.221 (6,8%), php.spam-seo.wp_cd.001 (6,5%) e php.mailer.encrypted.001 (6,0%).

23 % dei file index.php erano associati alla firma del malware rex.include_abs_path.004. Questa firma cerca i file chiamati da script PHP utilizzando percorsi assoluti e caratteri offuscati all’interno di file apparentemente innocenti. Firme associate ai file index.php Le restanti firme malware associate a index.php sul nostro grafico sono per firme malware generiche e malware PHP.

Puoi trovare ulteriori informazioni sulle firme di malware specifiche nella nostra Knowledge Base.

 

 

Conclusioni

Questo rapporto conferma ciò che è già noto. Il software vulnerabile continua ad essere un problema ed è una delle cause principali degli hacks dei siti di oggi.

Alcuni suggerimenti da questo rapporto includono:

  • WordPress continua ad essere il principale CMS sito Web infetto (l’83% di tutti i siti web puliti nel 2017).
  • C’è stata una notevole diminuzione delle installazioni obsolete di WordPress, Joomla e Drupal al momento dell’infezione. Magento continua a guidare il gruppo per il numero di installazioni vulnerabili obsolete al momento dell’infezione.
  • La telemetria della lista nera ha mostrato una riduzione dell’1% dei siti inseriti nella lista nera (solo il 14%), aumentando il numero di siti Web infetti che non vengono rilevati dai motori della lista nera all’86%.
  • L’analisi delle famiglie di malware ha mostrato che lo spam SEO è salito al 62,8% (+ 25,8% rispetto al terzo trimestre 2016). Ha mostrato anche una diminuzione degli script di posta, dal 19% al 15,1% e un brusco calo nella distribuzione di malware al 35% nel 2017, in calo dal 50% nel Q3 2016.

Nei dati non si riscontra alcuna differenza significativa tra ciò che è diffuso dai professionisti della sicurezza delle informazioni (InfoSec) e le azioni intraprese dagli amministratori del sito Web.

Similmente ai rapporti precedenti, possiamo aspettarci che le tecnologie open-source continuino a svilupparsi, e di pari passo l’industria dei siti web continuerà a vedere le evoluzioni nel modo in cui sono compromesse.

Vi è una riduzione delle conoscenze necessarie per creare e possedere un sito Web, che sta generando una mentalità sbagliata nei proprietari di siti Web e anche nei fornitori di servizi web.

Traduzione autorizzata da Sucuri, che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Ti potrebbe interessare anche

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone. Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici. Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG. Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine. Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese. Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

No Comments

Prima di pubblicare il commento dichiaro di aver letto, compreso ed accettato la privacy policy

Pubblica commento