WordPress Kötü Amaçlı Yazılım Tarayıcıları Neden Değersizdir?

Yayınlanan: 2023-07-18

Snicco, WeWatchYourWebsite, Automattic destekli GridPane ve PatchStack tarafından yapılan yeni araştırma, güvenliği ihlal edilmiş bir ortamda eklenti olarak çalışan WordPress kötü amaçlı yazılım tarayıcılarının temelde kusurlu olduğunu ortaya koyuyor. Kötü amaçlı yazılım tarayıcıları, en iyi ihtimalle zaten tehlikede olan siteler için temizleme araçlarıdır. Sağlam bir savunma hattı değiller ve şu anda kötü amaçlı yazılımlar tarafından aktif olarak yeniliyorlar. Kötü amaçlı yazılım tespitini kaliteli bir ana bilgisayara bırakın. Güvenlik ilkelerinizi oturum açma kimlik doğrulamasını güçlendirmeye, kullanıcı yönetimine, yetkilerin uygun şekilde devredilmesine ve ihtiyatlı sürüm yönetimine odaklayın.

Yani 2000 ve Sonrası: Kötü Amaçlı Yazılım Tarayıcıları Kullanışlılıklarını Geride Bıraktı

WordPress için kötü amaçlı yazılım algılama eklentileri, SQL enjeksiyon saldırılarının yaygın ve etkili olduğu 2011 yılına kadar uzanır. O zamanlar WordPress ile çalışan herkes, TimThumb adlı yaygın olarak kullanılan bir resim düzenleme kitaplığını hatırlayacaktır. Milyonlarca site için korkunç sonuçlarla sıfır gün istismarlarına maruz kaldı.

Bu, WordPress güvenlik eklentilerinin bir tepki olarak ortaya çıktığı acil durum bağlamıydı. Bugün bazı güvenlik eklentileri hala Norton Security ve McAfee Anti-Virus gibi görünüyor. Bunlar 20-30 yıl önce Windows için popüler güvenlik uygulamalarıydı. Ancak John McAfee'nin kendi kurduğu şirketten ayrıldıktan sonra söylediği gibi, antivirüs tarayıcısı "bloatware"e dönüştürülmüştü. Ona göre "dünyanın en kötü yazılımı" idi.

Bugün, birkaç WordPress güvenlik araştırmacısının son bulgularına dayanarak WordPress kötü amaçlı yazılım tarayıcıları hakkında benzer sonuçlar çıkarılabilir.

Malware Madness
Kötü amaçlı yazılım tarayıcıları, WordPress sitenizi korumaz.

"Zaten güvenliği ihlal edilmiş bir ortamın kendi kendini analiz etmesine güvenilemez."

Bir Güvenlik Yanılsaması: WordPress Kötü Amaçlı Yazılım Tarayıcıları Test Edildi

WordPress güvenlik araştırmacısı Calvin Alkan (güvenlik şirketi Snicco'nun kurucusu) "Malware Madness: WordPress Kötü Amaçlı Yazılım Tarayıcınız hakkında bildiğiniz her şey neden yanlış" adlı serinin ilk bölümünde bazı çalışmalarını paylaşıyor. Alkan, kötü amaçlı yazılım tarayıcılarının yenilip yenilemeyeceğini görmek için Patrick Gallagher (GridPane CEO'su ve Kurucu Ortağı) ve Thomas Raef (WeWatchYourWebsite.com'un Sahibi) ile birlikte çalıştı. Şaşırtıcı olmayan bir şekilde, yenilebilecekleri ortaya çıktı - çok kolay. Patchstack, Alkan'ın sonuçlarının bağımsız onayını sağladı.

Yerel Tarayıcılar: Çağrı Evin İçinden Geliyor

Alkan ve çalışma arkadaşları yaptıkları testlerde önce yerel tarayıcılara baktılar. Wordfence, WPMU Defender, All-In-One Security'nin (AIOS) ücretsiz sürümü ve NinjaScanner tüm işlerini yükledikleri WordPress sitesiyle aynı sunucuda yaparlar. Bu, kötü amaçlı yazılım tarayıcılarının WordPress ile aynı PHP işlemini ve onu etkileyen kötü amaçlı yazılımı kullandığı anlamına gelir. Kötü amaçlı yazılımın tarayıcıyla aktif olarak etkileşime girmesini engelleyen hiçbir şey yoktur. Kötü amaçlı yazılım, algıladığı tüm güvenlik eklentilerini devre dışı bırakabilir, kendisini beyaz listeye alabilir (2018'de bildirildi) veya izinsiz girişi algılamamaları için tarayıcıları manipüle edebilir.

"Hem Kötü Amaçlı Yazılım Tarayıcısı hem de Kötü Amaçlı Yazılım aynı PHP işlemi içinde çalışır. Bu, kötü amaçlı yazılımın tarayıcının işlevselliğini manipüle edebileceği veya kurcalayabileceği anlamına gelir - eşdeğer bir senaryo, bir mahkeme duruşmasında kendi yargıcı olarak görev yapan bir sanık olabilir .

Daha sonra Alkan ve ortakları, kötü amaçlı yazılım tarayıcılarını yenmek için çalışan kavram kanıtları üretti. (Ayrıca istismar kitlerini güvenlik araştırmacıları ve satıcılarıyla özel olarak paylaşmayı teklif ettiler.) Patchstack CEO'su Oliver Sild'e göre, istismar kitleri yalnızca birkaç satır koddan oluşuyor.

Alkan ayrıca, "kendini PHP kullanarak dinamik olarak oluşturan" "işlenmiş" kötü amaçlı yazılımın, yerel kötü amaçlı yazılım tarayıcıları tarafından tespit edilemediğini de tespit etti. Son olarak, yerel tarayıcılar "işlemdeki" kötü amaçlı yazılımları tespit edemedi. Bu tür bir kötü amaçlı yazılım "bir kez yürütülür ve ardından varlığına dair hiçbir iz bırakmadan kendisini sistemden siler."

Uzak Tarayıcılar: Delillerin Değiştirilmesi ve Olay Yeri Temizliği Tarafından Yenildi

Analizlerini uzak bir sunucuda gerçekleştiren tarayıcılar arasında Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri ve JetPack Scan bulunur. Bu daha yeni uzaktan tarama yöntemlerinin, daha az yer kaplaması ve yerel sunucunuzun performansı üzerindeki etkisi dahil olmak üzere çeşitli avantajları vardır. Yerel tarayıcılar, performans maliyeti olan işlerini yapmak için sitenizin sunucu kaynaklarını kullanır. Uzaktan kötü amaçlı yazılım analizi, etkin bir kötü amaçlı yazılım bulaşmasıyla aynı PHP işlemi içinde gerçekleşmediğinden manipülasyona karşı da korunur.

Uzak tarayıcıların savunmasız olduğu şey, analiz için uzak sunucuya geri gönderilen verileri değiştiren kötü amaçlı yazılımdır. Alkan, kötü amaçlı yazılım bulaşmasının "kanıtını" gizleyerek uzak tarayıcıların bu şekilde yenilebileceğini gösteren başka bir kavram kanıtı oluşturdu. Oliver Sild de bu sonucu doğruladı:

“Veri kurcalama, yerel eklentinin bir aldatma hedefi olmasıyla kavramsal olarak gerçekleştirilebilir. Bunu açıkça gösteren bir kavram kanıtı aldık.”

Biraz farklı bir kötü amaçlı yazılım taktiği, "suç mahallini temizlemeyi" ve taranacak hiçbir enfeksiyon izi bırakmamayı içerebilir. Alkan bunun mümkün olduğunu öne sürdü, ancak bir kavram kanıtı sağlamadı.

Yetkisiz değişiklikleri arayan dosya bütünlüğü taramasının, kötü amaçlı yazılım bulaşmasını tespit etmeye çalıştığınızda yardımcı olabileceğini unutmamak önemlidir. Bu tarama türü, WordPress çekirdeğindeki veya eklenti ve tema dosyalarındaki resmi olmayan değişiklikleri algılamak için yerel dosyaları korumalı, uzak bir kod deposuyla karşılaştırır. Ne yazık ki, süreç kötü amaçlı yazılım tarafından kurcalanırsa değişiklik algılaması başarısız olabilir.

Sadece Varsayımsal Değil: Kötü Amaçlı Yazılım, Vahşi Doğada WordPress Güvenlik Tarayıcılarını Zaten Devre Dışı Bırakıyor

Alkan'ın istismar kitlerinin ardından, Snicco'nun raporundaki en büyük açıklama, saldırıya uğramış WordPress sitelerini tespit eden ve temizleyen We Watch Your Website'nin CEO'su Thomas Raef'ten geliyor:

"Son 60 gün içinde 52.848 site, bulaşmadan önce WordFence yüklenmiş olarak saldırıya uğradı. Yüklenen kötü amaçlı yazılım, vakaların %14'ünde (7.399) WordFence dosyalarına müdahale etti . Diğer popüler hizmetler daha da yüksek yüzdelere sahipti; MalCare %22 ve VirusDie %24 ile geliyor.”

Web Sitenizi İzliyoruz analizinin ayrıntılı bir açıklaması için Thomas Raef'in "60 Günde Saldırıya Uğramış Yaklaşık 150.000 WordPress Sitesini Nasıl Belirledik" başlıklı raporuna bakın.

Kötü amaçlı yazılım tarama eklentileri için oyun bitti. Bize, WordPress kötü amaçlı yazılım taramasının saf bir güvenlik tiyatrosu olduğunu söylüyor - "geliştirilmiş güvenlik hissi sağladığı düşünülen güvenlik önlemlerini alma pratiği, bunu başarmak için çok az şey yapıyor veya hiçbir şey yapmıyor."

Hiç şüphe yok ki bu da uzun süredir devam ediyor.

Güvenlik sektörü kıdemli ve Kadence pazarlama direktörü Kathy Zant, Alkan'a şunları söyledi:

“Yaklaşık 18 ay boyunca, WordPress'te tanınmış bir şirket için WordPress sitelerini temizliyor, görev sürem boyunca 2.000'den fazla siteden kötü amaçlı yazılımları kaldırıyordum. [Kötü amaçlı yazılım taramalarını alt eden kötü amaçlı yazılımı] gördüğüm en erken zaman aralığı 2017'nin ortaları ile sonları arasındaydı. [….] Hâlâ var olduğundan eminim. Ve benzer eylemleri gerçekleştiren veya daha da kötüsünü gerçekleştiren ek varyantlar da olabilir."

Kötü haber bu: Kötü amaçlı yazılım tarayıcılarına güvenilemez. İyi haber şu ki, hiçbir zaman gerçek bir savunma sunmadılar. Kaybettiğiniz tek şey bir güvenlik yanılsamasıysa, bu aslında gerçek güvenliği kazanmaya yönelik bir adımdır.

WordPress Sitenizi Nasıl Güvenli Hale Getirirsiniz?

Snicco'nunki gibi bir raporun ardından, büyük soru şu: "WordPress siteleri güvenlik konusunda nasıl yüksek bir güven elde edebilir?"

Alkan, güvenlik yöntemlerinin her bir sunucu yığınına göre uyarlanması gerektiğine ve ana bilgisayar tarafından gerçekleştirilen sunucu tarafı kötü amaçlı yazılım taramasının, site sahipleri için tek değerli tarama türü olduğuna inanıyor.

"WordPress güvenlik eklentileri YALNIZCA uygulama/PHP katmanında yapılabilecek en iyi şeyleri yapmalıdır" diye vurguluyor.

"WordPress topluluğunun güvenlik yaklaşımını algılamadan engellemeye kaydırması ve aynı zamanda güvenliğin 'daha yüksek katmanlarının' etkinliğini doğrulamak için kötü amaçlı yazılım taramasının önemini sürdürmesi gerekiyor."

Alkan, iki faktörlü kimlik doğrulama ve geçiş anahtarları gibi güçlü kullanıcı oturum açma güvenliğinin oturum güvenliğiyle birleştiği alanlar olduğunu söylüyor. WordPress eklentileri - iThemes Security gibi eklentiler. Bu her zaman geliştirme ekibimizin yol gösterici felsefesi olmuştur - bir güvenlik eklentisi, siteleri sağlamlaştırmak ve saldırı yüzeyini azaltmak için en uygun olanıdır.

WordPress sitenizin savunmasını güçlendirmenin diğer önemli yolları, en az ayrıcalık ilkesini izleyen dikkatli kullanıcı yönetimini içerir: bir kullanıcıya asla gerekenden daha fazla güç vermeyin. Ve daha ayrıcalıklı kullanıcılar için, daha yüksek bir güvenlik standardı — 2FA, geçiş anahtarları, güvenilir cihazlar ve bilinen bir ihlalde hiç ortaya çıkmamış güçlü parolalar gerekir.

Günümüzün saldırı eğilimleri, parola doldurma, kimlik avı ve hedefli kimlik avı ile küçük ve orta ölçekli işletmeleri akıllı bir şekilde hedefliyor. Bu saldırı vektörleri, zayıf oturum açma kimlik doğrulamasından ve insan hatasından yararlanır. Bireysel kullanıcı hesaplarını tehlikeye atmak için kaba kuvvet ve akıllı sosyal mühendislik taktikleri kullanırlar. Saldırıya uğramış bir kullanıcı hesabıyla donanmış bir saldırgan çok fazla zarar verebilir. Ayrıca istismar edilebilecek savunmasız bir eklenti görürlerse daha fazla zarar verebilirler. Bir saldırgan, sisteminize girdikten sonra herhangi bir zamanda geri sızmak için arka kapılar oluşturabilir.

Kötü amaçlı yazılım tarayıcısını vurgulayan bir güvenlik eklentisi onları durdurmayacaktır.