CTB-Locker, Locky und WordPress

Nachdem ich heute zahlreiche Backups und anderes Gedöns gemacht habe, bin ich nebenbei auf Recherchetour gegangen und habe an diesem Text geschrieben. Vielleicht interessiert es jemanden, wer nicht nur mir gerade die Tage und Nächte versaut. 😉

Ende letzter Woche habe ich bei einer von mir betreuten Website eine sehr heftige Brute Force Attacke (Wikipedia) beobachtet. Sehr ausdauernd, sehr schnell und aus verschiedenen Ecken kommend. Ob das nun mit CTB-Locker und Locky zusammenhängt, kann ich nicht sagen, aber mir vorstellen. Ich vermute auch, dass CTB-Locker und Locky aus demselben Stall kommen. Das macht Sinn bei der weiter unten vermuteten Strategie.

Nach meiner Recherche stehen bei manchen folgende Plugins im Verdacht:
Extra User Detail
https://wordpress.org/plugins/extra-user-details/
Der Exploit wurde erst am 24.02.2016 gemeldet.

Die Plugins könnten noch möglich sein, denn auch sie passen ins Beuteschema:
Duplicator
https://de.wordpress.org/plugins/duplicator/
Witzig, dass STRATO ausgerechnet dieses Plugin schon empfahl, als es im SQL-Injection Verdacht stand. Das war Version 0.5.1.2 oder so.
Aktuell ist es CSRF (Wikipedia).

WordPress Download Manager
https://de.wordpress.org/plugins/download-manager/
Der hatte schon Ende 2014 ein Problem. Denkbar, dass das mancher verpennt hat und nicht aktualisiert hat.
http://www.heise.de/security/meldung/Exploit-greift-WordPress-via-Download-Manager-an-2506347.html
Oder auch nicht und es wurde verschlimmbessert.

Ich gehe davon aus, dass alle WP-Installationen, die ab 2015 nicht gewartet wurden, gefährdet sind. Das betrachte ich nach meiner Recherche für gesichert.

Datenbank und Installation sichern, alles updaten, erneut Datenbank und Installation sichern. Rechte überprüfen und auch sonstige Schotten dicht zu machen, das schadet nicht.

Gesichertes Wissen

CTB-Locker und Locky lieben PHP, JavaScript und Makros. Da gibt es also noch genug Kandidaten weltweit.
Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet – heise 22.02.2016

Wer einen Ordner in seiner WordPress-Installation findet, der numerisch ist, also /2/ oder /4/ etc., könnte ein Problem namens Locky haben. Eigentlich hat er es.
Ein Beispiel: http://domainname.de/4/4.exe Das war im Winfuture-Video über Locky erkennen.
http://winfuture.de/videos/Software/Locky-in-Aktion-So-infiziert-die-Ransomware-ein-Windows-System-15817.html

Virenscanner:

Nach virustotal erkennen nur wenige Virenscanner den Trojaner:
https://www.virustotal.com/en/file/f927efd7cd2da3a052d857632f78ccf04b673e2774f6ce9a075e654dfd77d940/analysis/
Wenn die Analyse zu alt ist, auf latest klicken.
Update vom 25.02.2016: Die Erkennungsrate wird besser. Das bedeutet aber nicht viel. Neue Variante oder Weiterentwicklung und das Spiel beginnt von vorne.

Locky angeblich ein Fax via e-Mail

heise Security liegen verschiedene Versionen der aktuellen Locky-Kampagne vor. Eine Mail stammt vermeintlich von dem VoIP-Provider sipgate. Die Erpresser haben als Vorlage offenbar eine legitime Benachrichtigungs-Mail des Anbieters im HTML-Format missbraucht. Ihr Betreff lautet „Neues Fax von 034205-99***“.
Quelle: http://www.heise.de/security/meldung/Neue-Virenwelle-Krypto-Trojaner-Locky-tarnt-sich-als-Fax-3117249.html

Selbst aktuelle WordPress-Installationen sind derzeit unter gewissen Umständen nicht sicher.

So wurde das Blog der Linux-Distribution Linux Mint angegriffen. Trotz neuester WordPress-Version und geringem Plugin-Einsatz wurde eine Sicherheitslücke gefunden. Die Betreiber nennen als Ursache das selbstangepasste Theme und laxe Rechtevergabe. Das mit dem Theme glaube ich unbesehen, es hat tatsächlich einige Jahre auf dem Buckel. Da hat sich viel geändert. 😉
Übrigens wütete hier der schon 2013 bekannte Unix Trojaner Tsunami (IRC/Bot).
http://www.heise.de/security/meldung/Linux-Mint-wurde-ueber-WordPress-gehackt-und-zwar-gleich-doppelt-3116656.html

Derzeitiges Fazit

Ich würde alle Plugins, die einen Zugang via WordPress-Backend zur Datenbank haben, löschen. Das wären etwa Plugins, die bspw. eine automatische Datenbanksicherung veranlassen usw. Das ist aber eher sehr lautes Bauchgefühl.
Außerdem denke ich, dass diese Geschichte noch lange nicht zu Ende ist. Da klappert man nach einem Plan systematisch alle CMS auf PHP-Basis ab. Joomla vergnügt sich mit TeslaCrypt 3 derzeit Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt – heise 22.02.2016, WordPress hat mit CBT-Locker und Locky zu tun. Drupal, Typo3 fehlen etwa noch.
Usage of content management systems for websites:
http://w3techs.com/technologies/overview/content_management/all

Da hat jemand eine Strategie, die lässt sich erkennen:

1. Server hacken
2. Datei(en) ablegen
3. Domain in Trojaner aufnehmen
4. Nach gewisser Zeit – vielleicht 200 Downloads der exe – läuft irgendein Mist ab
5. Dateien der Domain werden verschlüsselt
Dies vermutlich nur, wenn die Website noch gepflegt wird. Bei einer Blogleiche lohnt sich das wohl kaum.

Ob nun organisierte Kriminalität oder irgendein Geheimdienst: Locky und seine Kumpels sind beeindruckend und effizient.

Und CTB-Locker und Locky ziehen allen eine lange Nase, die meinen: WordPress kann jeder. Bedienen ja, administrieren und supporten nein. Das ist die Crux und bei der Verbreitung wird das noch einige Zeit so bleiben.

Update vom 25.02.2016

Es ist nicht PHP allein oder laxe Rechtesetzung auf dem Server, sondern auch „verschleiertes“ JavaScript. Das ist ein ganzer Sack zum Durchprügeln. 😉

Nachdem Locky vor kurzem auch anfing Javascript-Mails zu verschicken, zeigte eine Analyse des Skripts, dass sowohl Locky als auch Dridex den gleichen Javascript Obfuskator zu nutzen scheinen. Das würde darauf hindeuten, dass sie wahrscheinlich den gleichen FUD-Dienst (Fully UnDetected) zum Versenden ihrer Spam-Mails verwenden.
Quelle: Avira-Blog – 19.02.2016: Locky in the Cloud with Ransomware

Obfuskation (Wikipedia)

Schreiben Sie Ihre Meinung