De ce scanerele WordPress Malware sunt inutile

Publicat: 2023-07-18

O nouă cercetare de la Snicco, WeWatchYourWebsite, Automattic-backed GridPane și PatchStack dezvăluie că scanerele WordPress malware care funcționează ca pluginuri într-un mediu compromis sunt fundamental defecte. Scanerele malware sunt instrumente de curățare în cel mai bun caz pentru site-urile deja compromise. Nu sunt o linie solidă de apărare și sunt învinși activ de programele malware în sălbăticie chiar acum . Lăsați detectarea malware-ului unei gazde de calitate. Concentrați-vă politicile de securitate pe consolidarea autentificării autentificate, gestionarea utilizatorilor, delegarea corectă a privilegiilor și gestionarea vigilentă a versiunilor.

Deci 2000 și mai târziu: scanerele malware și-au depășit utilitatea

Pluginurile de detectare a programelor malware pentru WordPress datează din jurul anului 2011, când atacurile de injecție SQL erau comune și eficiente. Oricine lucrează cu WordPress atunci își va aminti de o bibliotecă de editare a imaginilor folosită pe scară largă numită TimThumb. A fost supus exploatărilor zero-day cu rezultate oribile pentru milioane de site-uri.

Acesta a fost contextul de urgență din care au apărut pluginurile de securitate WordPress - ca reacție. Unele plugin-uri de securitate astăzi arată în continuare ca Norton Security și McAfee Anti-Virus. Acestea erau aplicații de securitate populare pentru Windows acum 20-30 de ani. Dar, după cum a spus John McAfee, după ce a părăsit compania pe care a creat-o, scanerul său antivirus a fost transformat în „bloatware”. În opinia sa, a fost „cel mai prost software din lume”.

Concluzii similare ar putea fi trase astăzi despre scanerele de malware WordPress pe baza descoperirilor recente ale mai multor cercetători în domeniul securității WordPress.

Malware Madness
Scanerele malware nu vă vor proteja site-ul WordPress.

„Nu se poate avea încredere într-un mediu deja compromis ca să se analizeze singur.”

O iluzie de siguranță: scanere malware WordPress puse la încercare

În prima parte a unei serii numită „Malware Madness: De ce tot ce știi despre WordPress Malware Scanner este greșit”, cercetătorul de securitate WordPress Calvin Alkan (Fondatorul companiei de securitate Snicco) împărtășește o parte din munca sa. Alkan a lucrat cu Patrick Gallagher (CEO și co-fondator GridPane) și Thomas Raef (Proprietar, WeWatchYourWebsite.com) pentru a vedea dacă scanerele malware ar putea fi învinse. Deloc surprinzător, se dovedește că pot fi învinși - foarte ușor. Patchstack a oferit o confirmare independentă a rezultatelor lui Alkan.

Scanere locale: Apelul vine din interiorul casei

În testele lor, Alkan și colaboratorii săi s-au uitat mai întâi la scanere locale. Wordfence, WPMU Defender, versiunea gratuită a All-In-One Security (AIOS) și NinjaScanner își fac toată munca pe același server ca site-ul WordPress pe care sunt instalați. Aceasta înseamnă că scanerele malware folosesc același proces PHP ca și WordPress și malware-ul care îl infectează. Nimic nu împiedică malware-ul să interacționeze activ cu scanerul. Malware-ul ar putea dezactiva orice plugin de securitate pe care le detectează, ar putea fi listat în alb (raportat în 2018) sau să manipuleze scanerele astfel încât acestea să nu detecteze intruziunea.

„Atât Malware Scanner, cât și Malware rulează în același proces PHP. Acest lucru înseamnă că programele malware pot manipula sau modifica funcționalitatea scanerului - un scenariu echivalent ar fi un inculpat care servește ca propriul judecător într-un proces judiciar .”

Apoi, Alkan și partenerii săi au produs dovezi de concept funcționale pentru a învinge scanerele malware. (De asemenea, s-au oferit să-și partajeze kiturile de exploatare în mod privat cu cercetătorii și vânzătorii de securitate.) Potrivit CEO-ului Patchstack, Oliver Sild, kiturile de exploatare constau din doar câteva linii de cod.

Alkan a mai descoperit că programele malware „redate”, „care se construiesc în mod dinamic folosind PHP”, nu sunt detectabile de scanerele locale de malware. În cele din urmă, scanerele locale nu au reușit să detecteze malware „în proces”. Acest tip de malware „se execută o dată și apoi se șterge singur din sistem, fără a lăsa nicio urmă a prezenței sale”.

Scanere de la distanță: învinse de falsificarea probelor și curățarea scenei crimei

Scanerele care își efectuează analiza pe un server la distanță includ Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri și JetPack Scan. Aceste metode mai noi de scanare la distanță au mai multe avantaje, inclusiv o amprentă redusă și un impact asupra performanței serverului local. Scanerele locale folosesc resursele serverului site-ului dvs. pentru a-și face munca, ceea ce are un cost de performanță. Analiza malware de la distanță este, de asemenea, protejată de manipulare, deoarece nu se întâmplă în același proces PHP ca o infecție activă cu malware.

La ce sunt vulnerabile scanerele de la distanță este malware-ul care manipulează datele trimise înapoi către serverul de la distanță pentru analiză. Alkan a construit o altă dovadă de concept care demonstrează că scanerele de la distanță pot fi învinse în acest fel - prin ascunderea „dovezilor” unei infecții cu malware. Oliver Sild a confirmat și acest rezultat:

„Modificarea datelor poate fi realizată conceptual, pluginul local fiind o țintă a înșelăciunii. Am primit o dovadă a conceptului care demonstrează clar acest lucru.”

O tactică de malware ușor diferită ar putea implica „scurcarea locului crimei” și nu lăsa nicio urmă de infecție de scanat. Alkan a sugerat că acest lucru este posibil, dar nu a oferit o dovadă a conceptului.

Este important să rețineți că scanarea integrității fișierelor care caută modificări neautorizate poate fi utilă atunci când încercați să detectați o infecție cu malware. Acest tip de scanare compară fișierele locale cu un depozit de cod protejat la distanță pentru a detecta modificări neoficiale ale fișierelor de bază sau plugin și teme ale WordPress. Din păcate, detectarea modificărilor poate fi înfrântă dacă procesul este alterat de programe malware.

Nu doar un ipotetic: programele malware dezactivează deja scanerele de securitate WordPress în sălbăticie

După kiturile de exploatare ale lui Alkan, cea mai mare dezvăluire din raportul Snicco vine de la Thomas Raef, CEO-ul We Watch Your Website, care detectează și curăță site-urile WordPress piratate:

„În ultimele 60 de zile, 52.848 de site-uri au fost sparte cu WordFence instalat înainte de infectare. Programul malware instalat a modificat fișierele WordFence în 14% din cazuri (7.399) . Alte servicii populare au avut procente chiar mai mari; MalCare vine la 22%, iar VirusDie la 24%.

Pentru o prezentare detaliată a analizei We Watch Your Website, consultați raportul lui Thomas Raef, „Cum am identificat aproape 150.000 de site-uri WordPress pirate în 60 de zile”.

S-a terminat jocul pentru pluginurile de scanare malware. Ne spune că scanarea programelor malware WordPress este un teatru de securitate pur - „practica de a lua măsuri de securitate care sunt considerate a oferi sentimentul de securitate îmbunătățită, făcând puțin sau nimic pentru a o atinge.”

Fără îndoială că asta se întâmplă și de mult timp.

Veteranul industriei de securitate și directorul de marketing Kadence, Kathy Zant, a declarat pentru Alkan:

„Pe parcursul a aproximativ 18 luni, am curățat site-uri WordPress pentru o companie binecunoscută în WordPress, eliminând malware de pe peste 2.000 de site-uri în timpul mandatului meu. Cel mai timpuriu interval de timp pe care l-am văzut [malware defeating malware scans] a fost la mijlocul până la sfârșitul anului 2017. [….] Sunt sigur că încă există. Și ar putea exista foarte bine variante suplimentare care efectuează acțiuni similare, sau chiar mai rău.”

Aceasta este vestea proastă: scanerele malware nu pot fi de încredere. Vestea bună este că nu au oferit niciodată o apărare reală. Dacă tot ce ai pierdut este o iluzie de securitate, acesta este de fapt un pas către obținerea unei securități reale.

Cum să vă securizați site-ul WordPress - în mod corespunzător

În urma unui raport precum cel al lui Snicco, marea întrebare este: „Cum pot site-urile WordPress să obțină o încredere ridicată în securitatea lor?”

Alkan consideră că metodele de securitate trebuie adaptate fiecărei stive de server, iar scanarea malware pe partea serverului efectuată de gazdă este singurul tip de scanare care merită pentru proprietarii de site-uri.

„Pluginurile de securitate WordPress ar trebui să facă NUMAI lucruri care pot fi făcute cel mai bine la nivelul aplicației/PHP”, subliniază el.

„Comunitatea WordPress trebuie să-și schimbe abordarea de securitate de la detectare la prevenire, menținând în același timp importanța scanării malware pentru a verifica eficacitatea „straturilor superioare” de securitate.”

Securitatea puternică a autentificării utilizatorilor, cum ar fi autentificarea cu doi factori și cheile de acces, împreună cu securitatea sesiunii, sunt domeniile care Alkan spune că pluginurile WordPress pot ajuta - pluginuri precum iThemes Security. Aceasta a fost întotdeauna filozofia călăuzitoare a echipei noastre de dezvoltare – un plugin de securitate este cel mai potrivit pentru a consolida site-urile și pentru a reduce suprafața de atac.

Alte modalități esențiale de a întări apărarea site-ului dvs. WordPress includ gestionarea atentă a utilizatorilor, urmând principiul celui mai mic privilegiu: nu acordați niciodată mai multă putere unui utilizator decât este necesar. Iar pentru utilizatorii mai privilegiați, aceștia au nevoie de un standard mai înalt de securitate - 2FA, chei de acces, dispozitive de încredere și parole puternice care nu au apărut niciodată într-o încălcare cunoscută.

Tendințele actuale în materie de atacuri vizează în mod inteligent întreprinderile mici și mijlocii cu umplerea parolelor, phishing și spearphishing. Acești vectori de atac exploatează autentificarea slabă de conectare și eroarea umană. Ei folosesc forța brută și tactici inteligente de inginerie socială pentru a compromite conturile individuale de utilizator. Înarmat cu un cont de utilizator piratat, un atacator poate face multe daune. Ei pot face și mai mult rău dacă văd și un plugin vulnerabil de exploatat. Odată ajuns în sistemul dvs., un atacator poate crea uși din spate în care să se strecoare înapoi în orice moment.

Un plugin de securitate care pune accent pe un scanner de malware nu îi va opri.