WordPressで分散ブルートフォース攻撃
WordPressは多くの環境で利用されているコンテンツマネジメントシステムです。
オープンソースのブログソフトウェアであり、PHPで開発されていて、データベース管理システムとしてMySQLを利用します。
高機能なうえに拡張性も高いものになっています。
こういったいくつかの理由で利用者は多いのでしょう。
これまでも多くの脅威アクターがWordPressを悪用してきました。
またWordPressの悪用の事例が確認されています。
今度は分散ブルートフォース攻撃です。
- 初期侵害
まず、脅威アクターはWordPressのサイトを侵害します。
利用者が多く、その少なくない割合のサイトが十分安全な運用を実施できていないと思われることもあり、侵害が容易なWordPressのサイトは多くあります。 - テンプレートの挿入
WordPressのサイトを侵害した脅威アクターは、次にHTML テンプレートに悪意のあるコードを挿入します。 - WordPressサイトの閲覧者によるWordPressサイトの閲覧
WordPressのサイトには閲覧者がいます。
公開されているのですから、これは当然でしょう。
閲覧者のブラウザには公開されているWordPressの通常のコンテンツが転送されてきて表示されますが、それに加えて脅威アクターの挿入したテンプレートも読み込まれます。 - 攻撃者テンプレートの動作開始
攻撃者テンプレートは、そこに記述されたURLからJavaScriptを読み込みます。
時間の経過とともにJavaScriptのおかれたURLはバリエーションがでてきているようですが、いずれも同じ用途のJavaScriptです。
読み込まれたJavaScriptは動作します。 - タスクの受け取り
動作を開始したJavaScriptは脅威アクターの用意したWebサイトに接続し、タスクを受け取ります。
受け取るタスクはパスワードブルートフォースタスクです。
受け取るタスクは、JSON形式になっていて、タスクのID、ターゲットのWebサイトのURL、アカウント名、現在通過するパスワードのバッチを示す番号、試行する100個のパスワードが含まれます。 - タスクの実行
タスクが順次実行されます。
指定されたURLに渡された認証情報を使ってログインを試行します。
ログイン試行が失敗に終わった場合はなにも実施しませんが、ログインが成功した場合は、脅威アクターの用意したサイトに結果を記録します。 - 脅威アクターの回収
脅威アクターは自分ではブルートフォース攻撃を実施しませんが、ばらまいた攻撃タスクの結果を入手できます。
結果は脅威アクターのサイトでBase64でエンコードされた状態で保持されています。
WordPressの閲覧者だった人は、攻撃チームの一員となります。
脅威アクターに送り込まれたブルートフォース攻撃の割り当て分を黙って実行する下請け業者です。
今回観測されている事例では、さいわい、あまり多くの利用可能なパスワードが暴かれることにはならなかったのかもしれません。
しかし、この仕組みはほかの活動にも利用できるものとなってしまいそうです。
運用状態の十分でないWordPressの運用者は被害者で攻撃者となりました。
そのWordPressサイトの閲覧者も被害者で攻撃者となりました。
悲しい事例です。
公開システムの運用には十分練られた取り組みが必要ということですね。
参考記事(外部リンク):From Web3 Drainer to Distributed WordPress Brute Force
Attack
blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html
