Bu kötü amaçlı yazılım ilk olarak 2017'de tespit edildi ve WordPress çalıştıran bir milyondan fazla siteye bulaştı. İşte bilmeniz gerekenler.

WordPress siber saldırılara yabancı değil ve şimdi bir milyondan fazla sitenin virüs bulaştığı başka bir açıktan yararlandı. Bu kötü amaçlı kampanya, Balada Injector olarak bilinen bir tür kötü amaçlı yazılım kullanılarak gerçekleştirilmiştir. Ancak bu kötü amaçlı yazılım nasıl çalışıyor ve bir milyondan fazla WordPress sitesine bulaşmayı nasıl başardı?

Balada Injector Kötü Amaçlı Yazılım Temelleri

Balada Enjektörü (ilk kez böyle icat edildi) Web raporu), bu büyük WordPress bulaşma kampanyasının başladığı 2017'den beri kullanımda olan bir kötü amaçlı yazılım programıdır. Balada Injector, web sitelerine sızmak için kullanılan Linux tabanlı bir arka kapı kötü amaçlı yazılımıdır.

Arka kapı kötü amaçlı yazılım ve virüsler tipik oturum açma veya kimlik doğrulama yöntemlerini atlayarak saldırganın bir web sitesinin geliştirici ucuna erişmesine izin verebilir. Saldırgan buradan yetkisiz değişiklikler yapabilir, değerli verileri çalabilir ve hatta siteyi tamamen kapatabilir.

instagram viewer

Arka kapılar, yetkisiz erişim elde etmek için web sitelerindeki zayıflıklardan yararlanır. Dışarıdaki birçok web sitesinde bir veya daha fazla zayıflık (güvenlik açıkları olarak da bilinir) vardır, bu nedenle çoğu bilgisayar korsanı bir yol bulmakta zorlanmaz.

Peki, siber suçlular Balada Injector kullanarak bir milyondan fazla WordPress sitesini ele geçirmeyi nasıl başardı?

Balada Bir Milyondan Fazla WordPress Sitesini Nasıl Etkiledi?

Nisan 2023'te siber güvenlik firması Sucuri, 2017'den beri izlediği kötü niyetli bir kampanyayı bildirdi. İçinde Sucuri blog gönderisi2023 yılında şirketin SiteCheck tarayıcısının 140.000'den fazla Balada Enjektörünün varlığını tespit ettiği belirtildi. Bir web sitesinin, Balada Enjektörün 11 farklı varyasyonu kullanılarak 311 kez şok edici bir şekilde saldırıya uğradığı tespit edildi.

Sucuri ayrıca "sunucu dosyalarına enjekte edilen kötü amaçlı yazılımın hem ön uç hem de arka uç varyasyonlarını kapsayan 100'den fazla imzaya sahip olduğunu" belirtti. ve WordPress veritabanları." Firma, Balada Injector enfeksiyonlarının tipik olarak dalgalar halinde meydana geldiğini ve sıklığı birkaç haftada bir arttığını fark etti.

Balada Injector, bu kadar çok WordPress sitesine bulaşmak için özellikle platformun temaları ve eklentilerindeki güvenlik açıklarını hedef aldı. WordPress, kullanıcıları için binlerce eklenti ve bazıları geçmişte diğer bilgisayar korsanları tarafından hedef alınan çok çeşitli arayüz temaları sunar.

Burada özellikle ilginç olan, Balada kampanyasında hedeflenen güvenlik açıklarının zaten bilinmesidir. Bu güvenlik açıklarından bazıları yıllar önce kabul edildi, diğerleri ise daha yeni keşfedildi. Balada Injector'ın amacı, kullandığı eklenti bir güncelleme alsa bile, konuşlandırıldıktan sonra bile virüs bulaşmış sitede uzun süre varlığını sürdürmektir.

Bahsi geçen blog gönderisinde Sucuri, Balada'yı dağıtmak için kullanılan bir dizi bulaşma yöntemini listeledi:

  • HTML enjeksiyonları.
  • Veritabanı enjeksiyonları.
  • SiteURL enjeksiyonları.
  • İsteğe bağlı dosya enjeksiyonları.

Bunun da ötesinde, Balada Injector, String.fromCharCode'u bir karartma olarak kullanır, böylece siber güvenlik araştırmacılarının onu tespit etmesi ve saldırı tekniğindeki herhangi bir modeli yakalaması zorlaşır.

Bilgisayar korsanları, kullanıcıları sahte piyangolar, bildirim dolandırıcılıkları ve sahte teknoloji raporu platformları gibi dolandırıcılık sayfalarına yönlendirmek için WordPress sitelerine Balada bulaştırıyor. Balada ayrıca virüs bulaşmış site veritabanlarından değerli bilgileri sızdırabilir.

Balada Enjektör Saldırılarından Nasıl Kaçınılır?

Balada Enjektöründen kaçınmak için kullanılabilecek bazı uygulamalar vardır, örneğin:

  • Düzenli olarak güncellenen web sitesi yazılımı (temalar ve eklentiler dahil).
  • Yazılımların düzenli olarak temizlenmesi.
  • Etkinleştiriliyor iki faktörlü kimlik doğrulama.
  • kullanma güçlü şifreler.
  • Site yöneticisi izinlerini sınırlama.
  • Dosya bütünlüğü kontrol sistemlerinin uygulanması.
  • Yerel geliştirme ortamı dosyalarını sunucu dosyalarından ayrı tutmak.
  • Herhangi bir uzlaşmadan sonra veritabanı parolalarını değiştirme.

Bu tür adımlar atmak, WordPress web sitenizi Balada'dan korumanıza yardımcı olabilir. Sucuri'de ayrıca WordPress temizleme kılavuzu sitenizi kötü amaçlı yazılımlardan uzak tutmak için kullanabileceğiniz.

Balada Enjektörü Hala Gevşek

Yazma sırasında, Balada Injector hala dışarıda ve web sitelerine bulaşıyor. Bu kötü amaçlı yazılım tamamen durdurulana kadar WordPress kullanıcıları için risk oluşturmaya devam ediyor. Halihazırda kaç siteye bulaştığını duymak şok edici olsa da, neyse ki arka kapı güvenlik açıklarına ve bu kusurları kullanan Balada gibi kötü amaçlı yazılımlara karşı tamamen çaresiz değilsiniz.