Быть в курсе постоянно меняющейся ситуации в области безопасности имеет важное значение для поддержания безопасности веб-сервера и предотвращения потенциальных угроз.
Существует несколько ключевых угроз для веб-серверов, о которых важно знать, чтобы предотвратить и смягчить эти риски. DoS- и DDoS-атаки, SQL-инъекции, необновленное программное обеспечение и межсайтовый скриптинг — и это лишь некоторые из них.
Сегодня недавнее открытие исследователей угроз Avast выявило непосредственный и значительный риск для веб-разработчиков по всему миру, который называется Parrot TDS.
Что такое ТДС?
Системы управления движением (TDS) не новы. Они были врагами веб-разработчиков на протяжении нескольких лет. Используемый в качестве целевых страниц, которые направляют ничего не подозревающих пользователей на вредоносный контент, TDS служит шлюзом для проведения различных вредоносных кампаний через зараженные сайты.
Многие TDS достигли высокого уровня сложности и часто позволяют злоумышленникам устанавливать параметры, которые проверяют географическое местоположение пользователей, тип браузера, файлы cookie и веб-сайт, с которого они пришли.
Это используется для атаки на жертв, которые соответствуют определенным условиям, и показывают им только фишинговые страницы. Эти настройки обычно настраиваются таким образом, чтобы каждый пользователь видел фишинговую страницу только один раз, чтобы предотвратить перегрузку серверов.
их сроки
В феврале исследователи угроз Avast обнаружили серию атак, в которых использовалась новая система управления трафиком (TDS) для управления устройствами жертв. Новый TDS, получивший название Parrot TDS, появился в последние месяцы и уже достиг сотен тысяч пользователей по всему миру, заразив несколько веб-серверов, на которых размещено более 16.500 XNUMX веб-сайтов.
Одним из основных факторов, отличающих Parrot TDS от других TDS, является его распространение и количество потенциальных жертв. С 1 по 2022 марта 29 года Avast защитил более 2022 600 уникальных пользователей по всему миру, которые посещали сайты, зараженные Parrot TDS, включая более 000 11 пользователей в Великобритании. За этот период Avast защитил больше всего пользователей в Бразилии (000 73) и Индии (000 55.000); и более 31.000 XNUMX уникальных пользователей в США.
В данном конкретном случае внешний вид зараженных сайтов изменяется с помощью кампании под названием FakeUpdate, которая использует JavaScript для отображения поддельных уведомлений, которые позволяют пользователям обновлять свои браузеры, предлагая загрузить файл обновления. Файл, который, как мы наблюдали, доставлялся жертвам, представляет собой инструмент удаленного доступа под названием NetSupport Manager, который злоумышленники используют не по назначению, чтобы предоставить им полный доступ к компьютерам жертв.
Parrot TDS также создает бэкдор на зараженные веб-серверы в виде PHP-скрипта, который служит резервной копией для злоумышленника.
Поддельное обновление
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Сканирование проверяет, какой антивирусный продукт установлен на устройстве, чтобы определить, отображать ли фишинговое сообщение.
Распределенный инструмент настроен таким образом, что пользователь вряд ли его заметит, и если жертва запустит файл, отображаемый FakeUpdate, злоумышленники получат полный доступ к своему компьютеру.
Исследователи заметили другие фишинговые сайты, размещенные на сайтах, зараженных Parrot TDS, но не смогли окончательно связать их с Parrot TDS.
CMS-сайты
Мы считаем, что злоумышленники используют веб-серверы менее безопасных систем управления контентом, таких как сайты WordPress и Joomla, входя в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
WordPress имеет долгую историю как очень богатая и желанная цель для уязвимостей. Это связано с тем, что программное обеспечение использует серию PHP-скриптов, что является популярным прибежищем хакеров. Большое количество компонентов, включая плагины, темы и другие скрипты, затрудняет предотвращение заражения или потенциального компрометации.
Вдобавок ко всему, на многих веб-сайтах WordPress используются более старые версии, что может привести к появлению нескольких крупных выпусков, что приведет к появлению неисправленных уязвимостей безопасности. Кроме того, некоторые администраторы не имеют опыта обеспечения операционной безопасности ИТ или просто перегружены другими обязанностями и не могут уделять достаточно времени реализации мер безопасности, необходимых для обеспечения безопасности сайта WordPress.
Как разработчики могут защитить свои серверы
Однако веб-разработчики могут предпринять некоторые шаги для защиты своих серверов от этих атак, начиная с простого сканирования всех файлов на веб-сервере антивирусной программой. Другие шаги, которые могут предпринять разработчики, включают:
- Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.
- Используйте последнюю версию CMS.
- Используйте последние версии установленных плагинов
- Проверьте автоматически запускаемые задачи на веб-сервере (например, задания cron).
- Проверка и настройка безопасных учетных данных и использование уникальных учетных данных для каждой службы.
- Проверьте учетные записи администратора на сервере, убедитесь, что каждая из них принадлежит разработчикам и имеет надежные пароли.
- Если применимо, настройте 2FA для всех учетных записей администратора веб-сервера.
- Используйте доступные плагины безопасности (WordPress, Joomla)
Как посетители сайта могут избежать фишинга
Для посетителей сайта как никогда важно быть начеку в Интернете. Если посещенный сайт выглядит не так, как они ожидают, посетители должны покинуть сайт и не загружать файлы и не вводить какую-либо информацию.
Кроме того, посетители должны загружать обновления только непосредственно из настроек браузера и никогда через другие каналы.