Dlaczego skanery złośliwego oprogramowania WordPress są bezwartościowe
Opublikowany: 2023-07-18Nowe badania przeprowadzone przez Snicco, WeWatchYourWebsite, GridPane wspierane przez Automattic i PatchStack ujawniają, że skanery złośliwego oprogramowania WordPress, które działają jako wtyczki w zagrożonym środowisku, są zasadniczo wadliwe. Skanery złośliwego oprogramowania to w najlepszym razie narzędzia do czyszczenia witryn już narażonych na ataki. Nie stanowią one solidnej linii obrony i obecnie są aktywnie zwalczane przez złośliwe oprogramowanie. Pozostaw wykrywanie złośliwego oprogramowania wysokiej jakości hostowi. Skoncentruj swoje zasady bezpieczeństwa na wzmocnieniu uwierzytelniania logowania, zarządzaniu użytkownikami, właściwym delegowaniu uprawnień i czujnym zarządzaniu wersjami.
Rok 2000 i koniec: skanery złośliwego oprogramowania przeżyły swoją użyteczność
Wtyczki do wykrywania złośliwego oprogramowania dla WordPress sięgają około 2011 roku, kiedy ataki SQL injection były powszechne i skuteczne. Każdy, kto pracował wtedy z WordPress, pamięta powszechnie używaną bibliotekę do edycji obrazów o nazwie TimThumb. Został poddany exploitom dnia zerowego, które przyniosły okropne skutki dla milionów witryn.
To był kontekst awaryjny, z którego wyrosły wtyczki bezpieczeństwa WordPress – jako reakcja. Niektóre wtyczki zabezpieczające nadal wyglądają jak Norton Security i McAfee Anti-Virus. Były to popularne aplikacje zabezpieczające dla Windowsa 20-30 lat temu. Ale jak powiedział John McAfee po odejściu z firmy, którą stworzył, jego skaner antywirusowy został zamieniony w „bloatware”. Jego zdaniem było to „najgorsze oprogramowanie na świecie”.
Podobne wnioski można wyciągnąć dzisiaj na temat skanerów złośliwego oprogramowania WordPress na podstawie ostatnich ustaleń kilku badaczy bezpieczeństwa WordPress.
„Nie można ufać, że już skompromitowane środowisko samo się przeanalizuje”.
Iluzja bezpieczeństwa: testy złośliwego oprogramowania WordPress
W pierwszej części serii zatytułowanej „Malware Madness: Dlaczego wszystko, co wiesz o swoim WordPress Malware Scanner jest błędne”, badacz bezpieczeństwa WordPress Calvin Alkan (założyciel firmy ochroniarskiej Snicco) dzieli się niektórymi swoimi pracami. Alkan współpracował z Patrickiem Gallagherem (dyrektorem generalnym i współzałożycielem GridPane) oraz Thomasem Raefem (właścicielem, WeWatchYourWebsite.com), aby sprawdzić, czy można pokonać skanery złośliwego oprogramowania. Nic dziwnego, że można ich pokonać — bardzo łatwo. Patchstack dostarczył niezależnego potwierdzenia wyników Alkana.
Lokalne skanery: wezwanie pochodzi z wnętrza domu
W swoich testach Alkan i jego współpracownicy najpierw przyjrzeli się lokalnym skanerom. Wordfence, WPMU Defender, darmowa wersja All-In-One Security (AIOS) i NinjaScanner wykonują całą swoją pracę na tym samym serwerze, na którym znajduje się witryna WordPress, na której są zainstalowane. Oznacza to, że skanery złośliwego oprogramowania używają tego samego procesu PHP co WordPress i infekujące go złośliwe oprogramowanie. Nic nie stoi na przeszkodzie, aby złośliwe oprogramowanie aktywnie wchodziło w interakcje ze skanerem. Złośliwe oprogramowanie może wyłączać wszelkie wykryte wtyczki bezpieczeństwa, umieszczać się na białej liście (zgłoszone w 2018 r.) lub manipulować skanerami, aby nie wykrywały włamań.
„Zarówno skaner złośliwego oprogramowania, jak i złośliwe oprogramowanie działają w ramach tego samego procesu PHP. Oznacza to, że złośliwe oprogramowanie może manipulować lub modyfikować funkcjonalność skanera — równoważnym scenariuszem byłby oskarżony występujący jako własny sędzia w procesie sądowym .
Następnie Alkan i jego partnerzy opracowali działające dowody koncepcji, aby pokonać skanery złośliwego oprogramowania. (Zaproponowali również prywatne udostępnianie swoich zestawów exploitów badaczom bezpieczeństwa i sprzedawcom.) Według dyrektora generalnego Patchstack, Olivera Silda, zestawy exploitów składają się tylko z kilku linii kodu.
Alkan odkrył również, że „wyrenderowane” złośliwe oprogramowanie, „które dynamicznie konstruuje się przy użyciu PHP”, jest niewykrywalne przez lokalne skanery złośliwego oprogramowania. Wreszcie, lokalne skanery nie wykryły szkodliwego oprogramowania „w trakcie”. Ten rodzaj złośliwego oprogramowania „uruchamia się raz, a następnie usuwa się z systemu, nie pozostawiając żadnych śladów swojej obecności”.
Zdalne skanery: pokonane przez manipulowanie dowodami i oczyszczanie miejsca zbrodni
Skanery przeprowadzające analizę na serwerze zdalnym to Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri i JetPack Scan. Te nowsze metody zdalnego skanowania mają kilka zalet, w tym mniejsze rozmiary i wpływ na wydajność lokalnego serwera. Lokalne skanery wykorzystują zasoby serwera witryny do wykonywania swojej pracy, co wiąże się z kosztami wydajności. Zdalna analiza złośliwego oprogramowania jest również chroniona przed manipulacją, ponieważ nie odbywa się w ramach tego samego procesu PHP, co aktywna infekcja złośliwym oprogramowaniem.
Zdalne skanery są podatne na złośliwe oprogramowanie, które manipuluje danymi wysyłanymi z powrotem do zdalnego serwera w celu analizy. Alkan opracował kolejny dowód słuszności koncepcji, który pokazuje, że zdalne skanery można pokonać w ten sposób — ukrywając „dowody” infekcji złośliwym oprogramowaniem. Oliver Sild również potwierdził ten wynik:
„Manipulowanie danymi można osiągnąć koncepcyjnie, a lokalna wtyczka jest celem oszustwa. Otrzymaliśmy dowód słuszności koncepcji, który wyraźnie to pokazuje”.
Nieco inna taktyka złośliwego oprogramowania może polegać na „czyszczeniu miejsca zbrodni” i nie pozostawianiu śladów infekcji do przeskanowania. Alkan zasugerował, że jest to możliwe, ale nie przedstawił dowodu słuszności koncepcji.
Należy pamiętać, że skanowanie integralności plików, które wyszukuje nieautoryzowane zmiany, może być pomocne, gdy próbujesz wykryć infekcję złośliwym oprogramowaniem. Ten rodzaj skanowania porównuje pliki lokalne z chronionym, zdalnym repozytorium kodu w celu wykrycia nieoficjalnych zmian w rdzeniu WordPress lub plikach wtyczek i motywów. Niestety wykrywanie zmian można obejść, jeśli proces zostanie zmodyfikowany przez złośliwe oprogramowanie.
Nie tylko hipotetyczny: złośliwe oprogramowanie już wyłącza skanery bezpieczeństwa WordPress na wolności
Po zestawach exploitów Alkana największe ujawnienie w raporcie Snicco pochodzi od Thomasa Raefa, dyrektora generalnego We Watch Your Website, który wykrywa i czyści zhakowane witryny WordPress:
„W ciągu ostatnich 60 dni 52 848 witryn zostało zhakowanych za pomocą programu WordFence zainstalowanego przed infekcją. Zainstalowane złośliwe oprogramowanie manipulowało plikami WordFence w 14% przypadków (7 399) . Inne popularne serwisy miały jeszcze wyższe odsetki; MalCare osiąga 22%, a VirusDie 24%.
Aby uzyskać szczegółowe informacje na temat analizy We Watch Your Website, zobacz raport Thomasa Raefa „Jak zidentyfikowaliśmy prawie 150 000 zhakowanych witryn WordPress w ciągu 60 dni”.
To koniec gry dla wtyczek skanujących złośliwe oprogramowanie. Mówi nam, że skanowanie złośliwego oprogramowania WordPress to czysty teatr bezpieczeństwa — „praktyka podejmowania środków bezpieczeństwa, które są uważane za zapewniające poczucie zwiększonego bezpieczeństwa, przy jednoczesnym niewielkim lub zerowym robieniu, aby to osiągnąć”.
Nie ulega wątpliwości, że dzieje się to już od dłuższego czasu.
Weteranka branży bezpieczeństwa i dyrektor marketingu Kadence, Kathy Zant, powiedziała Alkanowi:
„Przez około 18 miesięcy czyściłem witryny WordPress dla znanej firmy w WordPress, usuwając złośliwe oprogramowanie z ponad 2000 witryn podczas mojej kadencji. Najwcześniejszy przedział czasowy, jaki widziałem [złośliwe oprogramowanie pokonujące skanowanie złośliwego oprogramowania], miał miejsce od połowy do końca 2017 r. […] Jestem pewien, że nadal istnieje. I bardzo dobrze mogą istnieć dodatkowe warianty, które wykonują podobne działania, a nawet gorsze”.
To zła wiadomość: skanerom złośliwego oprogramowania nie można ufać. Dobra wiadomość jest taka, że nigdy nie zaoferowali prawdziwej obrony. Jeśli wszystko, co straciłeś, to iluzja bezpieczeństwa, to w rzeczywistości jest to krok w kierunku uzyskania prawdziwego bezpieczeństwa.
Jak zabezpieczyć swoją witrynę WordPress — prawidłowo
Po raporcie takim jak Snicco najważniejsze pytanie brzmi: „W jaki sposób witryny WordPress mogą osiągnąć wysokie zaufanie do ich bezpieczeństwa?”
Alkan uważa, że metody bezpieczeństwa muszą być dostosowane do każdego stosu serwerów, a skanowanie złośliwego oprogramowania po stronie serwera wykonywane przez hosta jest jedynym opłacalnym rodzajem skanowania dla właścicieli witryn.
„Wtyczki bezpieczeństwa WordPress powinny robić TYLKO rzeczy, które najlepiej można zrobić w warstwie aplikacji/PHP” — podkreśla.
„Społeczność WordPress musi zmienić swoje podejście do bezpieczeństwa z wykrywania na zapobieganie, przy jednoczesnym utrzymaniu znaczenia skanowania złośliwego oprogramowania w celu weryfikacji skuteczności„ wyższych warstw ”bezpieczeństwa”.
Silne zabezpieczenia logowania użytkownika, takie jak uwierzytelnianie dwuskładnikowe i klucze dostępu w połączeniu z bezpieczeństwem sesji, to obszary, w których Alkan twierdzi, że wtyczki WordPress mogą pomóc — wtyczki takie jak iThemes Security. To zawsze była filozofia przewodnia naszego zespołu programistów — wtyczka bezpieczeństwa najlepiej nadaje się do wzmacniania witryn i zmniejszania powierzchni ataku.
Inne istotne sposoby na wzmocnienie obrony witryny WordPress obejmują staranne zarządzanie użytkownikami zgodnie z zasadą najmniejszych uprawnień: nigdy nie dawaj użytkownikowi więcej uprawnień, niż jest to konieczne. A bardziej uprzywilejowani użytkownicy wymagają wyższego standardu bezpieczeństwa — 2FA, kluczy dostępu, zaufanych urządzeń i silnych haseł, które nigdy nie pojawiły się w przypadku znanego naruszenia.
Dzisiejsze trendy w atakach w inteligentny sposób celują w małe i średnie firmy poprzez upychanie haseł, phishing i spearphishing. Te wektory ataków wykorzystują słabe uwierzytelnianie logowania i błąd ludzki. Używają brutalnej siły i sprytnych taktyk inżynierii społecznej, aby naruszyć bezpieczeństwo poszczególnych kont użytkowników. Uzbrojony w zhakowane konto użytkownika, atakujący może wyrządzić wiele szkód. Mogą wyrządzić jeszcze więcej szkód, jeśli zobaczą również wrażliwą wtyczkę do wykorzystania. Po wejściu do twojego systemu osoba atakująca może utworzyć tylne drzwi, aby w każdej chwili wślizgnąć się z powrotem.
Wtyczka bezpieczeństwa, która kładzie nacisk na skaner złośliwego oprogramowania, nie powstrzyma ich.
Najlepsza wtyczka zabezpieczająca WordPress do zabezpieczania i ochrony WordPress
WordPress obsługuje obecnie ponad 40% wszystkich witryn internetowych, co czyni go dużym, znanym celem cyberprzestępców. Wtyczka iThemes Security Pro usuwa zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczanie i ochronę witryny WordPress. To tak, jakby zatrudnić pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.
Dan Knauss jest generalistą ds. treści technicznych w StellarWP. Jest pisarzem, nauczycielem i freelancerem pracującym w open source od późnych lat 90., a z WordPressem od 2004 roku.