Почему сканеры вредоносных программ WordPress бесполезны
Опубликовано: 2023-07-18Новое исследование от Snicco, WeWatchYourWebsite, GridPane, поддерживаемого Automattic, и PatchStack показывает, что сканеры вредоносных программ WordPress, которые работают как плагины в скомпрометированной среде, имеют фундаментальные недостатки. Сканеры вредоносных программ — это в лучшем случае инструменты для очистки уже скомпрометированных сайтов. Они не являются надежной линией защиты, и прямо сейчас они активно побеждаются вредоносными программами. Оставьте обнаружение вредоносных программ качественному хостингу. Сосредоточьте свои политики безопасности на усилении аутентификации при входе в систему, управлении пользователями, надлежащем делегировании привилегий и бдительном управлении версиями.
Итак, 2000-е и более поздние: сканеры вредоносных программ изжили себя
Плагины обнаружения вредоносных программ для WordPress появились примерно в 2011 году, когда атаки с внедрением SQL-кода были распространены и эффективны. Любой, кто работал с WordPress в то время, помнит широко используемую библиотеку редактирования изображений под названием TimThumb. Он подвергся эксплойтам нулевого дня с ужасными результатами для миллионов сайтов.
Это был чрезвычайный контекст, из которого выросли плагины безопасности WordPress — как реакция. Некоторые подключаемые модули безопасности сегодня по-прежнему выглядят как Norton Security и McAfee Anti-Virus. Это были популярные приложения безопасности для Windows 20-30 лет назад. Но, как сказал Джон Макафи после ухода из созданной им компании, его антивирусный сканер превратился в «раздутое ПО». По его мнению, это было «худшее программное обеспечение в мире».
Аналогичные выводы можно сделать сегодня о сканерах вредоносных программ WordPress на основе недавних выводов нескольких исследователей безопасности WordPress.
«Уже скомпрометированной среде нельзя доверять самоанализ».
Иллюзия безопасности: проверка сканеров вредоносных программ WordPress
В первой части серии статей под названием «Безумие вредоносных программ: почему все, что вы знаете о своем сканере вредоносных программ WordPress, неверно», исследователь безопасности WordPress Кэлвин Алкан (основатель охранной компании Snicco) делится некоторыми своими работами. Алкан работал с Патриком Галлахером (генеральный директор и соучредитель GridPane) и Томасом Рафом (владелец WeWatchYourWebsite.com), чтобы выяснить, можно ли победить сканеры вредоносных программ. Неудивительно, что их можно победить — очень легко. Patchstack предоставил независимое подтверждение результатов Алкана.
Местные сканеры: звонок из дома
В своих тестах Алкан и его сотрудники сначала рассмотрели местные сканеры. Wordfence, WPMU Defender, бесплатная версия All-In-One Security (AIOS) и NinjaScanner выполняют всю свою работу на том же сервере, что и сайт WordPress, на котором они установлены. Это означает, что сканеры вредоносных программ используют тот же процесс PHP, что и WordPress, и вредоносное ПО, заражающее его. Ничто не мешает вредоносной программе активно взаимодействовать со сканером. Вредоносное ПО может отключать любые обнаруженные им подключаемые модули безопасности, вносить себя в белый список (сообщалось в 2018 году) или манипулировать сканерами, чтобы они не обнаруживали вторжение.
«И сканер вредоносных программ, и вредоносное ПО работают в одном и том же PHP-процессе. Это означает, что вредоносное ПО может манипулировать функциями сканера или вмешиваться в них — эквивалентным сценарием может быть ответчик, выступающий в качестве своего собственного судьи в судебном процессе ».
Затем Алкан и его партнеры подготовили рабочие доказательства концепции, чтобы победить сканеры вредоносных программ. (Они также предложили конфиденциально поделиться своими наборами эксплойтов с исследователями безопасности и поставщиками.) По словам генерального директора Patchstack Оливера Силда, наборы эксплойтов состоят всего из нескольких строк кода.
Алкан также обнаружил, что «отрендеренные» вредоносные программы, «которые динамически конструируют себя с помощью PHP», не обнаруживаются локальными сканерами вредоносных программ. Наконец, локальные сканеры не смогли обнаружить «внутрипроцессное» вредоносное ПО. Этот тип вредоносных программ «выполняется один раз, а затем удаляется из системы, не оставляя следов своего присутствия».
Дистанционные сканеры: поражение из-за фальсификации улик и очистки места преступления
Сканеры, выполняющие анализ на удаленном сервере, включают Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri и JetPack Scan. Эти новые методы удаленного сканирования имеют ряд преимуществ, включая меньшую занимаемую площадь и влияние на производительность вашего локального сервера. Локальные сканеры используют ресурсы сервера вашего сайта для выполнения своей работы, что снижает производительность. Удаленный анализ вредоносного ПО также защищен от манипуляций, поскольку он не происходит в рамках того же процесса PHP, что и активное заражение вредоносным ПО.
Для удаленных сканеров уязвимы вредоносные программы, которые манипулируют данными, отправляемыми обратно на удаленный сервер для анализа. Алкан создал еще одно доказательство концепции, которое демонстрирует, что удаленные сканеры можно победить таким образом — скрыв «доказательства» заражения вредоносным ПО. Оливер Силд также подтвердил этот результат:
«Подделка данных может быть достигнута концептуально, когда локальный плагин является целью обмана. Мы получили доказательство концепции, которое ясно демонстрирует это».
Несколько иная тактика вредоносного ПО может включать «очистку места преступления» и отсутствие следов заражения для сканирования. Алкан предположил, что это возможно, но не предоставил доказательства концепции.
Важно отметить, что сканирование целостности файлов, которое ищет несанкционированные изменения, может быть полезно, когда вы пытаетесь обнаружить заражение вредоносным ПО. Этот тип сканирования сравнивает локальные файлы с защищенным удаленным хранилищем кода для обнаружения неофициальных изменений в ядре WordPress или файлах плагинов и тем. К сожалению, обнаружение изменений может быть остановлено, если в процесс вмешается вредоносное ПО.
Не просто гипотеза: вредоносное ПО уже отключает сканеры безопасности WordPress в дикой природе
После наборов эксплойтов Alkan самое большое открытие в отчете Snicco было сделано Томасом Рафом, генеральным директором We Watch Your Website, который обнаруживает и очищает взломанные сайты WordPress:
«За последние 60 дней было взломано 52 848 сайтов с установленным WordFence до заражения. Установленное вредоносное ПО подделывало файлы WordFence в 14% случаев (7399) . Другие популярные сервисы имели еще более высокие проценты; MalCare составляет 22%, а VirusDie — 24%».
Подробный отчет об анализе We Watch Your Website см. в отчете Томаса Раефа «Как мы идентифицировали почти 150 000 взломанных сайтов WordPress за 60 дней».
На этом игра для плагинов для сканирования вредоносных программ окончена. Это говорит нам о том, что сканирование WordPress на наличие вредоносных программ — это чистый театр безопасности — «практика принятия мер безопасности, которые, как считается, обеспечивают ощущение повышенной безопасности, при этом практически ничего не делая для ее достижения».
Несомненно, это происходит уже давно.
Ветеран индустрии безопасности и директор по маркетингу Kadence Кэти Зант рассказала Алкану:
«В течение примерно 18 месяцев я очищал сайты WordPress для известной компании WordPress, удаляя вредоносное ПО с более чем 2000 сайтов за время моей работы. Самый ранний период времени, который я видел [вредоносное ПО, преодолевающее сканирование вредоносного ПО], был в середине-конце 2017 года. [….] Я уверен, что он все еще существует. И вполне могут быть дополнительные варианты, которые выполняют аналогичные действия или даже хуже».
Это плохая новость: сканерам вредоносных программ нельзя доверять. Хорошая новость в том, что они никогда не предлагали реальной защиты. Если все, что вы потеряли, — это иллюзия безопасности, то на самом деле это шаг к обретению настоящей безопасности.
Как защитить свой сайт WordPress — правильно
После отчета, подобного отчету Snicco, возникает большой вопрос: «Как сайты WordPress могут добиться высокой уверенности в своей безопасности?»
Алкан считает, что методы безопасности должны быть адаптированы к каждому стеку серверов, и сканирование вредоносного ПО на стороне сервера, выполняемое хостом, является единственным полезным типом сканирования для владельцев сайтов.
«Плагины безопасности WordPress должны делать ТОЛЬКО то, что лучше всего делать на уровне приложения/PHP», — подчеркивает он.
«Сообщество WordPress должно изменить свой подход к безопасности с обнаружения на предотвращение, сохраняя при этом важность сканирования вредоносных программ для проверки эффективности «более высоких уровней» безопасности».
Надежная защита входа пользователя, такая как двухфакторная аутентификация и ключи доступа в сочетании с безопасностью сеанса, — это области, в которых, по словам Алкана, могут помочь плагины WordPress — такие плагины, как iThemes Security. Это всегда было основной философией нашей команды разработчиков — подключаемый модуль безопасности лучше всего подходит для защиты сайтов и уменьшения поверхности атаки.
Другие важные способы усилить защиту вашего сайта WordPress включают тщательное управление пользователями в соответствии с принципом наименьших привилегий: никогда не давайте пользователю больше полномочий, чем необходимо. А для более привилегированных пользователей требуется более высокий стандарт безопасности — двухфакторная аутентификация, ключи доступа, доверенные устройства и надежные пароли, которые никогда не появлялись при известном взломе.
Сегодняшние тенденции атак разумно нацелены на малый и средний бизнес с использованием подмены паролей, фишинга и целевой фишинга. Эти векторы атак используют слабую аутентификацию при входе в систему и человеческие ошибки. Они используют грубую силу и хитрые тактики социальной инженерии для компрометации отдельных учетных записей пользователей. Вооружившись взломанной учетной записью пользователя, злоумышленник может нанести большой ущерб. Они могут нанести еще больший вред, если увидят уязвимый плагин для использования. Оказавшись внутри вашей системы, злоумышленник может создать лазейки, чтобы проникнуть обратно в любое время.
Плагин безопасности, делающий акцент на сканере вредоносных программ, не остановит их.
Лучший плагин безопасности WordPress для защиты и защиты WordPress
В настоящее время WordPress поддерживает более 40% всех веб-сайтов, что делает его крупной и знакомой мишенью для киберпреступников. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, упрощая защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.
Дэн Кнаусс — специалист по техническому содержанию StellarWP. Он был писателем, учителем и фрилансером, работающим с открытым исходным кодом с конца 1990-х годов и с WordPress с 2004 года.