القرصنة علي مواقع الوردبرس عن طريق ( Malvertising )

السلام عليكم ورحمة الله وركاته

 

سنقوم اليوم بشرح المشكلة اﻻمنية الخاصة ب  ( Malvertising ). في قوالب الوردبرس

استطاع القراصنة علي العثور علي حيلة جديدة في اختراق مواقع الوردبرس وهي مشكلة اضافية من المشاكل اﻻمنية للمواقع المثبتة علي منصة وردبريس  عن طريق استخدام   ( Malvertising )
ما هو Malvertising   حقيبة لـ "الإعلان الضار"

*يعد Malvertising مفهومًا جديدًا إلى حد ما لنشر البرامج الضارة ، كما أنه يصعب مكافحته لأنه يمكن أن يشق طريقه إلى صفحة ويب وينتشر من خلال نظام غير معروف: "الشيء المثير للاهتمام حول الإصابات التي يتم تقديمها من خلال malvertising هو أنه لا يتطلب أي إجراء من جانب المستخدم ( مثل النقر) لخرق النظام ولا يستغل أي ثغرات على الموقع أو الخادم الذي يستضيفه من ... تنتقل العدوى التي يتم إرسالها عبر malvertising بصمت عبر إعلانات صفحة الويب. 

إنه قادر على الوصول لملايين المستخدمين ، حتى الأكثر حذراً ، وينمو بسرعة: "في عام 2012 ، تم تقدير ما يقرب من 10 مليارات من مرات الظهور الإعلاني تعرضوا للتخريب بسبب الدعاية".

يتمتع المهاجمون بنطاق واسع جدًا ويمكنهم تنفيذ هذه الهجمات بسهولة من خلال الإعلان . واجهت الشركات ومواقع الويب صعوبة في تقليل عدد هجمات . وعادةً ما يحتوي  ذلك على إعلانات خبيثة أو محملة بالبرامج الضارة في شبكات الإنترنت وصفحات الويب .

 

تستهدف حملة الترويج المستمرة مشكلة عدم حصانة البرمجة النصية للمواقع المشتركة المخزنة علي (XSS) غير مثبت عليها المكون الإضافي Coming Soon Page & Maintenance Mode (وضع الصيانة)  .

وفقًا لفريق عمل Deffence's Defence Intelligence التابع لـ Wordfence.:

يسمح الخلل  الآن للمهاجمين بضخ شفرة JavaScript أو HTML في الواجهة الأمامية لمواقع الوردبرس التي تشغل إصدار المكوّن الإضافي 1.7.8 أو أقل.

 

تتسبب حملة malvertising التي اكتشفها Wordfence في تعرض مواقع الوردبرس للخطر "لعرض إعلانات غير مرغوب فيها وإعادة توجيه الزائرين إلى وجهات خبيثة ، بما في ذلك حيل الدعم الفني ، و Android APKs الخبيثة ، والإعلانات الغير رسمية بشكل عام.").

 

عمليات إعادة التوجيه الضارة والإعلانات المنبثقة

ستقوم شفرات  JavaScript المستخدمة لإصابة المواقع بتحميل كود إضافي من نطاقات أخرى لإنشاء الحمولة الخبيثة الكاملة التي يتم تنفيذها لزوار المواقع المصابة.

 

في كل عملية تنفيذ  ،سيتم إعادة توجيه الأهداف تلقائيًا إلى دومين ثانٍ يرسلها إلى دومين ثالث بعنوان URL  مقصود استنادًا إلى نوع الجهاز الذي يستخدمه الزائر من خلال التحقق من سلسلة User-Agent للمتصفح ، مع استخدام ملف تعريف الارتباط أيضًا لتعقب الضحايا العائدين .

 

صورة توضح إعادة توجيه حمولة JavaScript

وجدت Wordfence أن "مواقع الوجهة النهائية تختلف في النطاق المطلوب. البعض يعيد توجيه المستخدمين على إعلانات غير شرعية مثل أدوية غير مصرح لها أو مواد إباحية .... إلخ ، بينما يحاول البعض الآخر ممارسة نشاط ضار مباشر ضد متصفح المستخدم".

يعمل المهاجمون أيضًا على الاستفادة من الإعلانات المنبثقة كطريقة بديلة لإساءة استخدام أهدافهم ، حيث يتم الحصول على البرمجية من المواقع التي سبق تعرضها للاختراق وكذلك البرامج النصية المستندة إلى جافا سكريبت والتي يتم تخزينها على المواقع المصابة التي يتم إساءة استخدامها كجزء من حملة الإعلانات هذه التي يتم استخدامها لنشر الإعلانات.

 

هجمات XSS التي تم إطلاقها عبر  webshells

"بمجرد أن يتم تشغيل الهجمات ، سيفتح متصفح الضحية عنوانًا محددًا في علامة تبويب جديدة , وفي المرة التالية التي يقوم فيها بالنقر أو النقر فوق الصفحة" ، يضيف Wordfence.

 

إن هجمات XSS التي أطلقتها المهاجمون والتي تهدد عناوين IP المتصلة بموفري خدمات الاستضافة المشهورين ، والتي ترسل شفرات PHP  مبهمة ذات وظائف محددة التي يستخدمها المهاجمون لشن هجمات XSS بالوكالة عبر أوامر تعسفية.

تم العثور على Webshell على موقع وردبرس مصاب

ويخلص Wordfence إلى أن المهاجمين "يستخدمون مجموعة صغيرة من المواقع المعرضة للخطر لتنفيذ هذه الهجمات من أجل إخفاء مصدر أنشطتهم" وعلى الأرجح "الاستفادة من أي ثغرات أمنية مماثلة في XSS قد يتم الكشف عنها في المستقبل القريب".

يتم توفير مزيد من التفاصيل حول الإجراءات الداخلية لهذه الهجمات ، بالإضافة إلى مؤشرات المخاطر (IOCs) بما في ذلك تجزئة البرامج الضارة ، والدومينات ، وعناوين IP المهاجمة ، من قبل فريق Defiant Threat Intelligence في نهاية تقرير حملة الإعلانات الخاطئة.

 

هناك العديد من حملات القرصنة السابقة التي تستهدف مواقع الوردبرس ,هذه ليست حملة جديدة ، مع حملات مماثلة تستغل الثغرات الأمنية في إضافات Social Warfare و Yellow Pencil Visual Theme و Easy WP SMTP و Yuzo Related Posts والتي تم تثبيتها على عشرات الآلاف من مواقع الوردبرس.

في حالة تلك الهجمات ، كانت عمليات الاستغلال تستخدم أيضًا نصوصًا ضارة يتم استضافتها في مجال يسيطر عليه المهاجمون ، مع وجود الممثل السيء نفسه وراء الحملات الأربع السابقة.

في ديسمبر 2018 ، تم استخدام الروبوتات الكبيرة التي تم استخدامها أكثر من 20000 موقع من مواقع الوردبرس لمهاجمة مواقع الكترونية أخرى وخاصة مواقع وردبرس  وإضافتها إلى المواقع التي تمت إضافتها  إلى الروبوتات بمجرد اختراقها.

تم استخدام الروبوتات من قبل مشغليها كي يتم إجبار المستخدمين تسجيل الدخول  لمواقع وردبرس أخرى ، مع حظر أكثر من 5 ملايين محاولة تم اكتشاف انه استُخدام أكثر من 14000 خادم وكيل لإخفاء هوية أوامر C2 الخاصة بهم التي تم اكتشافها أثناء الهجمات.

 

عميلنا العزيز في حالة وجود استفسارات اخري ﻻ تتردد وافتح تذكرة تجدنا في خدمتك في أي وقت .

 

تقنية لتكنولوجيا المعلومات 

أكثر من 12 عام من كرم الاستضافة العربية

 

  • 0 أعضاء وجدوا هذه المقالة مفيدة
هل كانت المقالة مفيدة ؟

Related Articles

كيف يمكن تفعيل خاصية التحقق بخطوتين ؟ two factor authentication - 2FA

السلام عليكم . عملائنا الكرام .  في اطار السعي الحثيث لتوفير أقصى درجات الحماية لبياناتكم وفرنا...

ماهي شهادة الأمان SSL Certificates

  ما المقصود بشهادة الأمان SSL أو SSL Certificates ؟ what is ssl certificates الكثير منكم...

طريقة تعديل النيم سيرفر على الدومين

السلام عليكم . عملاء تقنية الكرام .. إليكم اليوم شرح لطريقة تعديل النيم سيرفر DNS على الدومين...

طرق الدخول علي لوحة التحكم ال cPanal واستعادة بيانات الدخول

السلام عليكم ورحمة الله وبركاته   اولاً : سنقوم بشرح طرق الدخول علي لوحة التحكم  cPanal يوجد...

استعادة بيانات الدخول علي حسابك

السلام عليكم ورحمة الله وركاته   سنقوم بشرح كيفية استعادة بيانات الدخول علي حسابك.   اوﻻً :...