Plattformen, zeroBS, Fachartikel

ZombieWPress - Analyse eines Wordpress-Botnetzes

ZombieWPress - Analyse eines Wordpress-Botnetzes

Was haben miserabel gewartete Wordpress-Instanzen bei Google, Microsoft, Cloudflare und beim DFN gemeinsam? Rethorische Frage. Rethorische Antwort: Sie werden für DDoS-Angriffe missbraucht.

Angriffe via Wordpress, im speziellen via XMLRPC sind nicht neu, sondern seit 2014 bekannt. Es mag das eine oder andere Unternehmen geben, für die Angriffe auf der Applikationsebene in 2017 noch Neuland sind, aber spätestens seit Slowloris ist den Sicherheitsexperten, die sich mit dem Thema DoS und DDoS beschäftigen klar, dass nicht nur Volumenangriffe allein ein Problem darstellen. 

 

Jede Wordpress-Webseite, die XMLRPC aktiviert hat, kann für DDoS-Angriffe auf andere Webserver mißbraucht werden. HINT: Die XML-RPC Schnittstelle ist per default seit WordPress 3.5 aktiviert, YaY! Das Problem ist den Wordpress-Entwicklern bekannt. Da die XMLRPC aber nicht als Bug, sondern als Feature gesehen wird, bleibt diese Schnittstelle aktiviert.

 

Das Phänomen eines Wordpress-Botnet wurde als erstes im Jahre 2014 von Sucuri beobachtet und in einer umfangreichen Analyse dokumentiert. Da es sich bei diesem Angriff um eine Reflection-Attacke handelt, bleibt der Angreifer für das Ziel unbekannt; eine Loganalyse der mißbrauchten Wordpress-Instanzen kann aber Hinwesie auf den Command&Control-Server liefern.

 

Botnet- und Angriffsanalyse

Das Botnet bestand aus knapp 500 Wordpress-Bots, der Angriff dauerte von 19:04 und ging bis 19:35, wobei der Angriff ab 19.25 erfolgreich war. Die Stärke und Art des Angriffs ist gemäß DDoS Resiliency Score DRS auf Stufe 3; standardmäßig abgesicherten Webseiten wäre dieser Angriff nicht gefährlich geworden. 

 

In der ersten Phase, von 19:04 bis 19:20, erreichten durchschnittliche 1000 Requests pro Minute das Ziel. In dieser Phase war der Webshop noch erreichbar, an dem Angriff waren 75 Wordpress-Bots beteiligt. Ab 19:21 Uhr setze der Angreifer dann bis zu 500 Bots ein, sodass zu Peakzeit (19:26) 200 Requests/Sekunde auf den Server einprasselten, die letztendlich zu einer Überlast führten; der Webshop war down. 

 

 

gesamter Angriffsverlauf, Requests pro Minute

 

 

Angriff im Peak, Requests pro Sekunde

 

 

Attack-Pattern, single Bot, Requests pro Sekunde

 

Verteilung nach Ländern

Nach Ländern aufgeteilt führen die USA eindeutig mit knapp 70%, gefolgt von Deutschland, Japan, weiteren europäischen Ländern, China und Russland. 

 

Verteilung nach Rechenzentren/Providern

Interessanter ist da schon die Analyse nach Rechenzentren/Providern, in denen die mißbrauchten Wordpress-Instanzen zu finden sind. Neben den zu erwartenden Cloudprovidern wie z.B. Digital Ocean und Amazon, finden sich dort auch überraschenderweise Cloudflare, Google und Microsoft. 

<< Erste < Vorherige 1 2 Nächste > Letzte >>