Botnetz missbraucht WordPress-Seiten


Wordfence, Hersteller des gleichnamigen Security-Plug-ins für das populäre Content Management System WordPress, beschreibt in einem Blog-Beitrag eine neu gefundene Schadsoftware für den Aufbau eines Botnet über WordPress-Sites. Kontrolliert wird dieses Netz über den Internet Relay Chat (IRC), der für den kriminellen Hacker einen großen Vorteil hat: Er kann die Chatserver des Dienstes kostenlos als Command & Control-Server (C&C-Server) nutzen. Sie verteilen seine Anweisungen gleichzeitig an alle infizierten WordPress-Sites. Ist das Botnetz groß genug, lassen sich darüber beispielsweise Denial-of-Service-Attacken (DoS) starten, um gezielt einzelne Internet-Server in die Knie zu zwingen. In diesem Fall ermittelten die Analysten von Wordfence über die IP-Adressen in dem aufgefangenen Code fünf Chatserver, über die das Netz gesteuert wurde. Zwei davon waren nicht mehr aktiv, drei arbeiteten noch.

Ebenfalls im Schadcode enthalten war der Name des Hackers – Bloodman – und der Hash eines Passworts, mit dem er sich bei den infizierten Sites anmeldete. Mit einer einfachen Websuche stellten die Analysten fest, dass dieser Passwort-Hash schon mindestens seit Dezember 2012 verwendet wurde. Jetzt legten sie sich auf die Lauer und überwachten alle drei Chatserver, die Bloodman für sein Netz einsetzte. Bereits nach 48 Stunden wurden sie fündig, denn er schickte ein neues Kommando an sein Netz. Daraus ließ sich nun das Kennwort im Klartext extrahieren, zudem wusste man bei Wordfence nun, dass Bloodman oft auch unter der Kennung 1x33x7 im Netz unterwegs ist.

Gefallen an Amokläufen?

Im IRC-Channel #1x33x7 fanden die Analysten insgesamt 31 infizierte WordPress-Server, die in das Botnetz eingebunden waren. Auch Bloodman war mit zwei Accounts in diesem Channel aktiv, so dass sie mit dem IRC-Befehl „whois“ zwei IP- und eine E-Mail-Adresse ermitteln konnten. Die beiden Usernamen, Bloodman und 1x33x7, führten zudem zu einem Twitter-Accout, der auf einen Account bei dem Livestream-Portal YouNow verlinkte, von wo wiederum ein Link auf einen YouTube-Account verwies, der unter einem der beiden oben genannten Benutzernamen angelegt wurde.

Dort sieht man einen deutschsprachigen Benutzer, der gerne mit Feuerwerk spielt und vor mehreren Jahren Fotomontagen zum Amoklauf von Winnenden veröffentlicht hat. Neben diesen öffentlich zugänglichen Daten wertete Wordfence auch Hacker-Websites aus, auf welche die Firma über Sicherheitslecks in der Software zugegriffen hatte. Auf einer davon fand das Unternehmen einen der erwähnten Usernamen sowie die IP-Adresse, unter der er sich zuletzt angemeldet hatte. Sie gehört zum Pool der Deutschen Telekom.

Da das Botnetz von Bloodman sehr klein und nicht sehr aktiv ist, hat Wordfence nichts weiter unternommen und weist lediglich darauf hin, dass die Schadsoftware von ihrer Firewall abgeblockt wird. Aber der Schädling weißt einmal mehr auf die Gefahr hin, die von eventuell veralteten, schlecht gesicherten WordPress-Installationen ausgeht. Wenn offensichtlich technisch nicht in der obersten Liga spielende Kriminelle bereits Botnetze aufziehen können, ist es für Profis ein Leichtes, in einem Aufwasch reichlich solcher Seiten beziehungsweise Server zu übernehmen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

 

Comments (0)

Skip to main content