Быть в курсе постоянно меняющихся условий безопасности крайне важно для обеспечения безопасности вашего веб-сервера и защиты от потенциальных угроз.
Существует несколько ключевых угроз для веб-серверов, о которых важно знать, чтобы предотвратить или смягчить эти риски. DoS- и DDoS-атаки, SQL-инъекции, неисправленное программное обеспечение и межсайтовые сценарии — это лишь некоторые из них.
Сегодня недавнее открытие исследователей угроз Avast выявило немедленную и значительную угрозу для веб-разработчиков по всему миру, называемую Parrot TDS.
Tabla de contenido
Что такое ТДС?
Системы направления движения (TDS) не новы. Они были врагами веб-разработчиков в течение нескольких лет. Используемые в качестве целевых страниц, которые направляют ничего не подозревающих пользователей к вредоносному контенту, TDS служит шлюзом для доставки различных вредоносных кампаний через зараженные сайты.
Многие TDS достигли высокого уровня сложности, часто позволяя злоумышленникам устанавливать параметры, которые анализируют географическое положение пользователей, тип браузера, файлы cookie и веб-сайт, с которого они пришли.
Это используется для атаки жертв, которые соответствуют определенным условиям и показывают им только фишинговые страницы. Эти параметры обычно настраиваются таким образом, чтобы каждый пользователь видел фишинговую страницу только один раз, чтобы предотвратить перегрузку серверов.
их тд
В феврале исследователи угроз Avast обнаружили множество атак с использованием новой системы управления трафиком (TDS) для управления устройствами-жертвами. Новый TDS, получивший название Parrot TDS, появился в последние месяцы и уже достиг сотен тысяч пользователей по всему миру, заразив различные веб-серверы, на которых размещено более 16.500 XNUMX веб-сайтов.
Одним из основных факторов, отличающих Parrot TDS от других TDS, является его распространение и количество потенциальных жертв. С 1 марта 2022 г. по 29 марта 2022 г. Avast защитил более 600 000 уникальных пользователей по всему миру, посетивших зараженные Parrot TDS сайты, в том числе более 11 000 пользователей в Великобритании. В этот период Avast защитил больше всего пользователей в Бразилии (73 000) и Индии (55.000 31.000); и более XNUMX XNUMX уникальных пользователей в США.
В данном конкретном случае внешний вид зараженных сайтов изменяется с помощью кампании под названием FakeUpdate, которая использует JavaScript для отображения поддельных уведомлений, позволяющих пользователям обновлять свои браузеры, предлагая загрузить файл обновления. Файл, который, как мы наблюдали, доставлялся жертвам, представляет собой инструмент удаленного доступа под названием NetSupport Manager, который злоумышленники используют не по назначению, чтобы предоставить им полный доступ к компьютерам жертв.
Parrot TDS также создает бэкдор на зараженных веб-серверах в виде PHP-скрипта, который служит резервным вариантом для злоумышленника.
Поддельное обновление
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Сканирование проверяет, какой антивирусный продукт установлен на устройстве, чтобы определить, следует ли отображать фишинговое сообщение.
Распространяемый инструмент настроен таким образом, что пользователь вряд ли его заметит, и если жертва запустит файл, отображаемый FakeUpdate, злоумышленники получат полный доступ к их компьютеру.
Исследователи наблюдали другие фишинговые сайты, размещенные на сайтах, зараженных Parrot TDS, но не могут однозначно связать их с Parrot TDS.
CMS веб-сайты
Мы считаем, что злоумышленники используют веб-серверы небезопасных систем управления контентом, таких как сайты WordPress и Joomla, входя в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
WordPress имеет долгую историю как очень богатая и желанная цель для уязвимостей. Это связано с тем, что программное обеспечение использует серию PHP-скриптов, что является популярным местом для хакеров. Большое количество компонентов, включая плагины, темы и другие скрипты, затрудняет предотвращение заражения или возможной компрометации.
Кроме того, многие веб-сайты WordPress используют более старые версии, которые могут привести к нескольким основным выпускам, что приведет к неисправленным уязвимостям безопасности. Кроме того, некоторые администраторы либо не имеют опыта работы с ИТ-безопасностью, либо просто перегружены другими обязанностями и не могут уделять достаточно времени реализации необходимых мер безопасности для обеспечения безопасности сайта WordPress.
Как разработчики могут защитить свои серверы
Однако веб-разработчики могут предпринять некоторые шаги для защиты своих серверов от этих атак, начиная с простого сканирования всех файлов на веб-сервере с помощью антивирусной программы. Другие шаги, которые могут предпринять разработчики, включают:
- Замените все файлы JavaScript и PHP на веб-сервере оригинальными файлами.
- Используйте последнюю версию CMS
- Используйте последние версии установленных плагинов
– Проверьте наличие задач автозапуска на веб-сервере (например, задания cron)
– Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы.
– Проверьте учетные записи администратора на сервере, убедившись, что каждая из них принадлежит разработчикам и имеет надежные пароли.
– Если применимо, настройте 2FA для всех учетных записей администратора веб-сервера.
– Используйте доступные плагины безопасности (WordPress, Joomla)
Как посетители сайта могут избежать фишинга
Для посетителей сайта как никогда важно быть начеку онлайн. Если посещаемый сайт выглядит не так, как они ожидают, посетители должны покинуть сайт, не загружать файлы и не вводить какую-либо информацию.
Кроме того, посетители должны загружать обновления только непосредственно из настроек браузера, а не через другие каналы.
