Security Report Joomla/WP Bruteforce Botnet

Transcript

1 #securitytraining Security Report Joomla/WP Bruteforce Botnet

2 1 Uno studio a cura di: Valentino Gagliardi Technical Manager at ServerManaged.it Devop, Sysadmin vecchia scuola, consulente informatico per small/medium business, cloud, hosting operations. Data di Pubblicazione: 4 Settembre 2013 I risultati di questo studio riguardano attacchi osservati nel periodo Luglio/Agosto 2013

3 2 Difficoltà del testo Le risorse tecniche nascono con tre livelli di difficoltà. Per scoprire se questo e-book è adatto a te consulta la legenda qui sotto. >> Facile Livello di difficoltà facile: testi introduttivi che ti guidano alla scoperta dei fondamenti senza andare troppo nei dettagli tecnici. Risorse adatte per iniziare. Il livello tecnico di questo report è facile. >> Intermedio Livello di difficoltà intermedio: testi tecnici che ti guidano nei dettagli e negli aspetti leggermente più avanzati di ogni argomento. >> Avanzato Livello di difficoltà avanzato: testi tecnici che contengono informazioni e dettagli molto avanzati.

4 3 Disclaimer I metodi, le opinioni ed i suggerimenti che troverai in questo testo non rappresentano la verità assoluta. Ogni sistema ha una storia ed una vita propria e le tecniche esposte potrebbero non adattarsi al tuo caso specifico. Garanzie e responsabilità Le informazioni contenute in questo e-book sono fornite senza garanzie. L'autore dell'e-book e ServerManaged.it non si assumono nessuna responsabilità per eventuali danni a cose o dati derivanti dall'uso errato delle istruzioni contenute in questo documento. Il testo è distribuito a titolo informazionale e si sconsiglia di applicare modifiche a sistemi in produzione senza l'assistenza di un professionista specializzato. Licenza Questo report viene distribuito con licenza Creative Commons. Non puoi modificare l'opera, né utilizzarla per scopi commerciali ma puoi diffonderla liberamente nel formato originale citando sempre l'autore. Feedback dai lettori Il feedback dai lettori è sempre gradito. Se hai dubbi, richieste o pensi di aver trovato un errore nel testo scrivici a info@servermanaged.it Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported Immagine di copertina : Magus

5 4 INDICE DEI CONTENUTI INTRODUZIONE...5 PRELUDIO: FORT DISCO BRUTEFORCE CAMPAIGN...5 L'ATTACCO...7 CASO CASO CONSIDERAZIONI SUGLI ATTACCHI...9 CONSEGUENZE, DANNI E MITIGAZIONE...10 CONSEGUENZE DI UN ATTACCO...10 MITIGAZIONE DEGLI ATTACCHI SU JOOMLA...11 MITIGAZIONE DEGLI ATTACCHI SU WORDPRESS...11 CONCLUSIONI...12

6 5 INTRODUZIONE I bruteforce ai danni dei CMS come Joomla e Wordpress non sono una novità. Un bruteforce contro un sito web è un attacco "a forza bruta" che ha come obiettivo quello di indovinare l'username e la password per accedere al backend. I blackhat fanno largo uso degli attacchi bruteforce per violare i siti ed usarli come rampa di lancio per ulteriori attacchi contro i navigatori finali: phishing, exploit kit o spam. Generalmente un bruteforce coinvolge indirizzi ip isolati che cercano di penetrare nell'area amministrativa dei siti web tentando diverse combinazioni di username e password. I bruteforce in questi casi sono quasi sempre automatizzati e costanti nell'arco delle 24 ore, e con tentativi di attacco che provengono da singoli ip sono anche facile preda di firewall ed IDS. La novità, da qualche mese, è che i bruteforce si sono trasformati. Da leggeri ed isolati ora sono diventati veri e propri bombardamenti con migliaia di richieste HTTP nell'arco di poche ore. La novità è la potenza di fuoco messa in campo dall'attaccante. Il report di sicurezza che stai leggendo riguarda due casi di bruteforce in arrivo da una botnet, lanciati negli ultimi giorni contro due siti web italiani di cui sono il responsabile tecnico. Quello che sto per proporti è il risultato dello studio, che comprende un'analisi degli attacchi, ragionamenti sulle conseguenze di questi eventi e suggerimenti su come mitigare questo tipo di minacce. PRELUDIO: FORT DISCO BRUTEFORCE CAMPAIGN Arbor Networks ha individuato di recente una botnet molto particolare composta da circa unità. Una botnet è per definizione una rete di computer infetti tutti sotto il controllo di un singolo individuo (o di un gruppo) che sfrutta l'esercito di computer a sua disposizione allo scopo di trarne un profitto illecito. Le funzioni tipiche di una botnet sono gli attacchi ddos, lo spamming, il click fraud e diverse altre attività illegali, come i bruteforce. La botnet tracciata da Arbor Networks sembra sia

7 6 dedicata esclusivamente agli attacchi bruteforce contro siti web Joomla, Wordpress e Datalife Engine (un CMS molto diffuso in Russia) [25/Aug/2013:13:05: ] "GET /administrator/index.php HTTP/1.0" [25/Aug/2013:13:05: ] "GET /administrator/index.php HTTP/1.0" [25/Aug/2013:13:05: ] "POST /administrator/index.php HTTP/1.0" [25/Aug/2013:13:05: ] "GET /administrator/index.php HTTP/1.0" [25/Aug/2013:13:05: ] "POST /administrator/index.php HTTP/1.0" [25/Aug/2013:13:05: ] "GET /administrator/index.php HTTP/1.0" 200 I personal computer che fanno parte delle botnet contattano periodicamente i server di controllo (C&C) per conoscere quali sono gli "ordini" del momento. I bot di Fort Disco dopo aver stabilito il contatto, scaricano in locale una lista dei siti web da attaccare. Arbor ha scoperto che tipicamente una lista può contenere dai 5mila ai 10mila siti web che diventano poi i bersagli degli imminenti attacchi. Questa campagna di bruteforce è stata denominata "Fort Disco" dagli ingegneri di Arbor Networks. [Rif: Fort Disco Bruteforce Campaign] I computer infetti che formano Fort Disco sembrano facciano registrare grandi percentuali di unità nelle Filippine, in Peru ed in Messico. Tuttavia nei due attacchi che ho esaminato le nazioni di provenienza degli ip sono Russia, Vietnam, Taiwan, Ucraina, Iran e Thailandia. In questi dati va conteggiata una percentuale di approssimazione considerando anche che non è semplice tracciare con precisione millimetrica nè il numero dei bot nè la loro collocazione geografica. Il report di sicurezza che stai leggendo riguarda due casi di bruteforce in arrivo da una botnet, lanciati negli ultimi giorni contro due siti web italiani. Non e' chiaro comunque se gli attacchi bruteforce indagati siano opera della botnet Fort Disco o di una botnet minore ma la cosa certa è che raramente si era vista una tale potenza di fuoco messa in campo per un singolo attacco bruteforce contro un sito web.

8 7 L'ATTACCO CASO 1 Il primo sito web è stato colpito da circa 1670 indirizzi ip unici, collocati principalmente in Russia, Vietnam, Taiwan, Ucraina, Iran e Thailandia. Il primo attacco ha avuto una durata di circa 2 ore e sono state circa le richieste HTTP (POST e GET) verso il backend di Joomla /administrator/index.php Joomla "Bruteforce Botnet" - Nazioni Principali degli Ip Attaccanti Caso Ip Unici dalle 12:20 alle 14:20 Russia Taiwan Vietnam Ucraina Iran Thailandia Turchia Bielorussia Bulgaria India Romania USA Egitto Indonesia Serbia China Polonia Ungheria Illustrazione 1: Distribuzione per Nazionalità degli Ip Attaccanti L'illustrazione 1 mostra la distribuzione degli ip attaccanti per nazionalità (caso di attacco 1). Nella generazione del grafico sono stati considerati solo gli indirizzi ip che hanno totalizzato una quantità maggiore di 20 unità per nazione allo scopo di renderne più comprensibile la visualizzazione.

9 8 CASO 2 Il secondo sito web è stato attaccato da circa 1426 indirizzi ip unici collocati principalmente in Russia, Vietnam, Taiwan, Ucraina, Iran e Thailandia. Salvo alcune piccole variazioni gli indirizzi ip che hanno attaccato il primo bersaglio sono gli stessi apparsi nel secondo. Il secondo attacco è durato circa 1 ora e sono state le richieste HTTP (POST e GET) verso il backend di Joomla /administrator/index.php. Il secondo attacco ha avuto una maggior violenza rispetto al primo è non è stato possibile reggere senza difese per più di un'ora senza arrecare disagi all'intero server. Joomla "Bruteforce Botnet" - Nazioni Principali degli Ip Attaccanti Caso Ip Unici dalle 16:05 alle 17:15 Russia Vietnam Taiwan Ucraina Thailandia Iran Bielorussia Bulgaria Turchia Romania USA Serbia India China Polonia Illustrazione 2: Distribuzione per Nazionalità degli Ip Attaccanti L'illustrazione 1 mostra la distribuzione degli ip attaccanti per nazionalità (caso di attacco 2). Nella generazione del grafico sono stati considerati solo gli indirizzi ip che hanno totalizzato una quantità maggiore di 20 unità per nazione allo scopo di renderne più comprensibile la visualizzazione.

10 9 CONSIDERAZIONI SUGLI ATTACCHI Si stima che la botnet Fort Disco sia composta da circa 25mila computer infetti. Non e' chiaro se gli attacchi bruteforce indagati siano opera della botnet Fort Disco o di una botnet minore. Il numero massimo di indirizzi ip unici conteggiati nei due attacchi oggetto dello studio è di 1670 unità. Il secondo attacco ha fatto registrare un conteggio di 1426 indirizzi ip unici. In entrambi i casi si è reso necessario mitigare prematuramente i bruteforce per evitare interruzioni di servizio, ma c'è la probabilità che il numero di indirizzi ip unici sarebbe potuto aumentare se il tempo a disposizione degli attaccanti fosse stato maggiore. Anche se la natura dei due attacchi non consente di stabilire un legame con la botnet Fort Disco, il fenomeno dei violenti bruteforce in arrivo da botnet di computer infetti è abbastanza recente ed in forte aumento. I bruteforce verso i backend di siti web Joomla e Wordpress non sono una novità nel panorama della sicurezza ma in passato eravamo abituati ad attacchi di un'intensità infinitamente inferiore. Non ci sono prove certe che mi permettono di poter rapportare questa botnet a quella tracciata da Arbor Networks, ma gli attacchi sono comparsi poco dopo la scoperta di Fort Disco e questo apre la strada a diverse possibilità: 1. la botnet Fort Disco non è l'unica rete di computer infetti dedita ai bruteforce massivi contro Joomla e Wordpress 2. la botnet Fort Disco viene rivenduta in lotti di bot a diversi acquirenti. In questo caso la quantità di bot all'attacco su ogni singolo sito non rappresenta il complessivo dell'intera botnet Fort Disco 3. probabilmente i bruteforce vengono coordinati in modo da dividere la quantità di bot in attacco su ogni sito web 4. varie ed eventuali Un aspetto interessante da considerare riguarda la collocazione oraria degli attacchi. L'attacco bruteforce del caso 1 ha avuto una durata di circa 2 ore, dalle 12:20 alle 14:20. Il secondo attacco ha avuto invece inizio alle ore 16:05 circa, ed è durato fino alle ore 17:05 circa. La fine del primo attacco dista meno di 2 ore dal momento dell'inizio del secondo. Questo

11 10 Illustrazione 3: Aumento carico medio del server durante l'attacco 1 suggerisce che i bot seguano una sorta di scaletta, che corrisponde ad una probabile lista di obiettivi che vengono bersagliati con un'ordine ben preciso, per un lasso di tempo prestabilito (2 ore?). Un confronto tra questi due attacchi e diversi altri attacchi simili occorsi poco tempo prima mostrano inoltre come il giorno preferito dagli attaccanti sia principalmente la Domenica. Esistono diversi studi che sostengono di poter tracciare la località geografica di provenienza di un hacker osservando tra gli altri segnali anche i giorni della settimana che fanno registrare una maggiore attività sospetta. Il weekend ed i giorni festivi sono la scelta preferita degli hacker indipendenti che durante i giorni lavorativi sono impegnati nel loro posto di lavoro abituale. CONSEGUENZE, DANNI E MITIGAZIONE CONSEGUENZE DI UN ATTACCO Un attacco bruteforce lanciato da una botnet di computer infetti contro un singolo sito web può, se non viene mitigato, minare la stabilità dell'intero web server. La maggior parte dei classici server di hosting condiviso sono calibrati per ospitare siti web che sviluppano quantità di traffico medio/basse, con un'operatività normale. Un'improvviso balzo del traffico può causare problemi di stabilità, esaurire la banda riservata all'account e provocare un aumento del load average di sistema che nei casi più gravi può portare al collasso del server.

12 11 MITIGAZIONE DEGLI ATTACCHI SU JOOMLA La mitigazione più semplice da approntare durante un attacco bruteforce è sul backend di Joomla. La directory /administrator può essere limitata con un.htaccess per impedire l'accesso da parte di ip indesiderati. Order Deny,Allow Allow from TUOIP Deny from all Puoi ottenere lo stesso risultato anche con l'ausilio di alcuni componenti extra ma l'.htaccess è probabilmente il metodo più immediato e leggero per mitigare i bruteforce contro /administrator. Inoltre gli errori generati nei log dagli ip inibiti possono essere forwardarti ad un IDS o ad un firewall per il blocco in tempo reale. Tieni presente che gli attacchi più violenti potrebbero richiedere risorse e competenze specifiche per essere mitigati. MITIGAZIONE DEGLI ATTACCHI SU WORDPRESS Wordpress è uno dei bersagli preferiti da parte degli hacker, e gli episodi di bruteforce contro l'area amministrativa di numerosi siti Wordpress hanno fatto registrare numeri allarmanti. In diversi casi la dinamica degli attacchi ricalca quella registrata per i casi di bruteforce contro Joomla. Senza ombra di dubbio siamo di fronte ad una botnet che ha degli obiettivi ben precisi. Anche per Wordpress la mitigazione dei bruteforce è molto semplice. Per tamponare attacchi di media portata può essere sufficiente limitare l'accesso al file wp-login.php, con le stesse modalità viste su Joomla. <Files wp-login.php> Order deny,allow Allow from TUOIP Deny from all </Files> La botnet ha una potenza di fuoco molto consistente ma è anche poco intelligente. Le richieste infatti si concentrano esclusivamente su /administrator/index.php e wp-login.php Nell'immagine in basso puoi vedere la rappresentazione grafica di un

13 12 attacco bruteforce contro un sito Wordpress. L'attacco proviene dalla stessa botnet tracciata nei precedenti due casi. Un bruteforce con questa potenza sviluppa migliaia di richieste GET e POST contro wp-login.php. L'attacco ha generalmente una durata di 2 ore. Illustrazione 4: Rappresentazione grafica di bruteforce contro un sito Wordpress CONCLUSIONI I bruteforce non sono una novità assoluta nel panorama della sicurezza informatica. Probabilmente l'attacco a forza bruta è stata una delle prime tecniche nate immediatamente dopo l'invenzione delle password come metodo di autenticazione. Finchè esisteranno username e password continueranno ad esistere anche i bruteforce. Ma la novità è che i bruteforce, soprattutto quelli contro i siti web, si sono trasformati. Da leggeri ed isolati ora sono diventati veri e propri bombardamenti con migliaia di richieste HTTP nell'arco di poche ore. Si tratta di attacchi che hanno una potenza non trascurabile e che se non

14 13 opportunamente mitigati possono provocare danni, interruzioni di servizio e perdite di dati, senza contare quello che può accadere quando un bruteforce va a buon fine. I blackhat fanno largo uso dei bruteforce per violare i siti web ed usarli poi come rampa di lancio per ulteriori attacchi contro i navigatori finali. Il fenomeno delle botnet usate come arma per bruteforce massivi contro Joomla e Wordpress è oggetto di studio da parte di numerosi analisti per via del fatto che si tratta dei CMS in assoluto più diffusi. Maggiore è la frequenza e la potenza degli attacchi contro Joomla e Wordpress, maggiore può essere la diffusione di infezioni e campagne di exploiting, considerato che i due CMS coprono larghe fette di mercato all'interno del panorama web. Questo report si inquadra perfettamente in un filone di studio che ha come obiettivo quello di regalarti un web più sicuro, per te e per i tuoi visitatori. Continua a seguirci! #securitytraining

15 14 Uno studio a cura di: Valentino Gagliardi Technical Manager at ServerManaged.it Devop, Sysadmin vecchia scuola, consulente informatico per small/medium business, cloud, hosting operations. Data di Pubblicazione: 4 Settembre 2013 I risultati di questo studio riguardano attacchi osservati nel periodo Luglio/Agosto 2013

16 15 Disclaimer I metodi, le opinioni ed i suggerimenti che troverai in questo testo non rappresentano la verità assoluta. Ogni sistema ha una storia ed una vita propria e le tecniche esposte potrebbero non adattarsi al tuo caso specifico. Garanzie e responsabilità Le informazioni contenute in questo e-book sono fornite senza garanzie. L'autore dell'e-book e ServerManaged.it non si assumono nessuna responsabilità per eventuali danni a cose o dati derivanti dall'uso errato delle istruzioni contenute in questo documento. Il testo è distribuito a titolo informazionale e si sconsiglia di applicare modifiche a sistemi in produzione senza l'assistenza di un professionista specializzato. Licenza Questo report viene distribuito con licenza Creative Commons. Non puoi modificare l'opera, né utilizzarla per scopi commerciali ma puoi diffonderla liberamente nel formato originale citando sempre l'autore. Feedback dai lettori Il feedback dai lettori è sempre gradito. Se hai dubbi, richieste o pensi di aver trovato un errore nel testo scrivici a info@servermanaged.it Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported Immagine di copertina : Magus