Ein Blick in die Hacker-Community, die das Internet zerstört
Ein Hacker kann viele Gründe haben, eine Website zu verunstalten. Sie möchten möglicherweise auf ein politisches oder soziales Problem aufmerksam machen, den Ruf einer Person schädigen, den eigenen Ruf stärken, eine Schwachstelle in der Sicherheit einer Website aufzeigen oder einfach nur ein bisschen Spaß haben.
Laut einem Team von Comparitech-Forschern, das sich kürzlich mit der Defacement-Community befasst hat, liegt der Hauptgrund darin, dass man sie bemerkt.
Online-Vandalismus ist für einen großen Teil der Black-Hat-Hacker zu einer Art Sport geworden. Es handelt sich um eine globale Gemeinschaft, die gegeneinander antritt und zusammenarbeitet, um Websites zu verunstalten. Obwohl die Häufigkeit ihrer Angriffe in den letzten Jahren zurückgegangen ist, haben wir geseheneine kürzliche Wiederbelebung der Verunstaltungsaktivitäten, was möglicherweise auf die COVID-19-Pandemie zurückzuführen ist: Hacker haben möglicherweise mehr Zeit und verunstalten möglicherweise Websites, um Langeweile während der Quarantäne oder Sperrung zu vermeiden.
Ein Großteil ihrer Aktivitäten findet aus offensichtlichen Gründen in Untergrundforen und Marktplätzen statt, aber die bekanntesten Hacker sind überraschend transparent.prahlen mit ihren Heldentaten in den sozialen Medienohne Rücksicht auf die Konsequenzen, mit denen sie eines Tages konfrontiert sein könnten. Comparitech-Forscher sagten, es sei einfach, die Facebook-, Twitter- und ICQ-Profile von Hackern zu finden. Einige hatten sogar LinkedIn- und Instagram-Konten, auf denen sie mit ihren Angriffen prahlen.
Um keine unangemessene Aufmerksamkeit auf Comparitech zu lenken, haben wir uns entschieden, diese Konten in diesem Artikel nicht zu veröffentlichen. Wir haben alle Screenshots entsprechend redigiert.
Die Verunstaltung von Websites kann gezielt oder massenhaft erfolgen. Das Motiv für die Verunstaltung einer einzelnen Website besteht oft darin, eine Aussage zu machen oder eine Meinung zu äußern. Es ähnelt in vielerlei Hinsicht Graffiti.
Das gleichzeitige Verunstalten mehrerer Websites geschieht in der Regel aus Spaß und Respekt unter den Kollegen des Hackers.
Die Besitzer unkenntlich gemachter Websites greifen in der Regel auf eine frühere Version der Website zurück, sobald der Schaden bemerkt wird. Aber das macht die Bemühungen eines Hackers nicht zunichte.
Hacker „spiegeln“ Websites als Beweis für einen erfolgreichen Angriff. Durch das Spiegeln einer Website wird eine öffentlich zugängliche Kopie der unkenntlich gemachten Seite erstellt, bevor sie entfernt wird. Diese Spiegel landen auf Aggregator-Sites wie Zone-H , das seit 2002 unleserliche Websites archiviert. Zum Zeitpunkt des Verfassens dieses Artikels hat Zone-H katalogisiertmehr als 14 Millionen Verunstaltungsangriffe.
Je größer die Website, desto größer ist der Ruf des Hackers. Auffällige „besondere“ Verunstaltungen sind beispielsweise in Zone-H durch ein Sternsymbol gekennzeichnet. Beliebte Websites sind wertvoller, aber in der Regel schwieriger zu hacken. Das Hacken von Regierungs- (.gov) und Bildungsseiten (.edu) verschafft in der Regel mehr Bekanntheit und Respekt in der Community.
Hacker verunstalten sogar Websites, die andere verunstaltet haben. Re-Defacement ist eine Möglichkeit, sich anderen Hackern anzuschließen und sie in die Schranken zu weisen.
Auf welche Schwachstellen wird abgezielt?
Unser Forscherteam hat es aufgedeckt89 Zero-Day-Schwachstellenin gängigen Content-Management-Systemen (CMS) und deren Plugins. Dazu gehören Plugins für WordPress, Joomla und Drupal, um nur einige zu nennen.
Um herauszufinden, wie viele Websites anfällig für Zero-Day-Exploits sind, haben wir das Web mit unseren eigenen Idioten gescannt. Wir haben es aufgedecktMehr als 100.000 Websites mit anfälligen Plugins. Hier ist eine Aufschlüsselung:
- WordPress: etwa 78.430 Seiten
- Joomla: ca. 16.360 Seiten
- Drupal: etwa 300 Seiten
- Opencart: ca. 6.240 Seiten
Forscher analysierten den Quellcode von fünf beliebten Massen-Hacking-Bots,Jeder davon kann 40 bis 80 Exploits ausnutzen. Am häufigsten treten Schwachstellen beim Hochladen willkürlicher Dateien auf, die es Angreifern ermöglichen, Shell-Skripte auf Webserver hochzuladen. Diese Shell-Skripte können dann verwendet werden, um Code aus der Ferne auszuführen und die Site zu verunstalten.
Überraschend viele dieser Exploits tauchen in keiner größeren Schwachstellendatenbank auf.Von den insgesamt 280 Exploits, die von den fünf analysierten Bots genutzt wurden, war 154 kein CVE zugewiesen.Ein CVE ist eine dokumentierte Cybersicherheitslücke mit einer Identifikationsnummer, einer Beschreibung und mindestens einer öffentlichen Referenz. Schwachstellen ohne CVEs sind gefährlicher, da Sicherheitssoftware und -personal weniger wahrscheinlich vor ihnen schützen.
Es ist erwähnenswert, dass Verunstaltung im Vergleich zu dem, was Hacker unter Ausnutzung vieler dieser Schwachstellen tun könnten, ein relativ geringfügiges Vergehen darstellt. Viele der Exploits könnten auch dazu verwendet werden, Malware zu verbreiten, Phishing-Seiten einzurichten, Benutzer auf andere schädliche Seiten umzuleiten, Card-Skimming-Malware zu installieren, den Server einem Botnetz hinzuzufügen, einen Kryptominer zu installieren, Website-Daten mit Ransomware zu verschlüsseln oder eine Nummer zu starten anderer Angriffe auf die Website und ihre Besucher.
Es beginnt mit Idioten
Wie kommt es also zu diesen Angriffen?
Es beginnt damit, ein Ziel zu finden, oft mithilfe einer speziell gestalteten Suchanfrage bei Google oder Bing. Diese Anfragen werden „Dorks“ genannt.
Mit Dorks können Websites gefunden und identifiziert werden, die von Suchmaschinen indiziert wurden. Sie verwenden häufig Suchoperatoren wie „intext“ und „inurl“, um bestimmte Teile von Websites zu scannen, an denen Hacker interessiert sind. Es gibt viele Websites mit Listen von Idioten, die Hacker verwenden können, wenn sie keine eigenen erstellen möchten. Die Suchmaschine gibt dann eine Liste von Websites zurück, die einen bestimmten Entwickler, einen bestimmten Datenbanktyp, ein Plugin oder ein bestimmtes Website-Thema identifizieren, das bekanntermaßen anfällig für Angriffe ist.
Viele Hacker verwenden lieber Bing als Google. Google blockiert automatisierte Abfragen und Dummköpfe mithilfe von CAPTCHAs – Tests, die dazu dienen, Menschen von Bots zu unterscheiden – Bing jedoch nicht.
Eine andere Möglichkeit, Ziele zu finden, besteht darin, mit einem IP-Scan-Bot oder IoT-Suchmaschinen wie Shodan.io, Censys und BinaryEdge nach anfälligen Hosts zu suchen. Dieser Ansatz ist nützlich für Hacker, die nach Websites suchen, die nicht von Suchmaschinen indiziert wurden.
Sobald ein Hacker ein Ziel oder eine Liste von Zielen erreicht hat, ist es an der Zeit, die Bots loszulassen.
Der unterirdische Marktplatz
Die Verfügbarkeit von Hacking-Tools hat in den letzten Jahren die Eintrittsbarriere in Hacking-Communitys gesenkt.
Die meisten Hacker in der Defacement-Community schreiben keine eigene Malware. Stattdessen verwenden sie Bots und Shell-Skripte, die andere erstellt haben, um bestimmte Schwachstellen auf Websites auszunutzen.
Bots werden verwendet, um Websites zu infiltrieren und Hackern Zugriff auf den Server zu verschaffen. Der Hacker lädt seine Zielliste in den Bot und führt sie dann aus, um den Angriff zu starten. Bots sind automatisiert und greifen in kurzer Zeit alle Websites auf der Liste an.
Die häufigste Art von Bot-Angriffs-ExploitsSchwachstellen beim Hochladen willkürlicher Dateien. Diese Art von Sicherheitslücke ermöglicht es dem Hacker, Dateien auf den Server der gehackten Website hochzuladen.
Geben Sie Shell-Skripte ein. Shell-Skripte sind Befehlsdateien, die vom Server gelesen und ausgeführt werden. Einmal hochgeladen, ermöglichen Shell-Skripte Hackern, Code aus der Ferne auf dem Server auszuführen.
Hier findet tatsächlich eine Verunstaltung statt. Hacker können Websites löschen, sie durch Pornografie ersetzen, Datenbanken stehlen und im Allgemeinen jede gewünschte Aktion ausführen, als wären sie der Administrator der Website.
Woher kommen also all diese Bots und Shells? Einige sind kostenlos und andere kostenpflichtig.Hacker teilen und verkaufen ihre Tools in Hacking-Foren und der Messaging-App Telegram.Telegram ist beliebt, da es große Gruppen unterstützt und Ende-zu-Ende-verschlüsselte Nachrichten sendet, wodurch Benutzer anonym bleiben können.
Es gibt viele kostenlose und Open-Source-Bots und Shell-Skripte. Der durchschnittliche Preis für ein kostenpflichtiges Shell-Skript liegt bei etwa 2 bis 4 US-Dollar. Darüber hinaus können Anbieter Listen mit Zielen verkaufen, die für ein bestimmtes Shell-Skript anfällig sind. Benutzer können anfällige Websites unter anderem sogar nach Alexa-Rang, SSL-Verfügbarkeit, CMS und Land sortieren.
Einige Hacker lassen sogar Listen von Websites durchsickern, auf denen sie erfolgreich Shell-Skripte eingeschleust haben. Andere Hacker können dann eindringen und bereits gehackte Websites erneut verunstalten.
Einige Hacker sind eher daran interessiert, die von anderen Hackern verkauften kostenpflichtigen Tools zu hacken, eine Taktik namens „Cracking“. Sobald eine Shell oder ein Bot geknackt ist, kann der Hacker sie zu einem günstigeren Preis weiterverkaufen oder kostenlos verschenken.
Woher kommen diese Hacker?
Obwohl wir nicht mit Sicherheit feststellen können, woher ein bestimmter Hacker kommt, konnten unsere Forscher Informationen über die Ursprünge der 20 beliebtesten Website-Hacking-Tools sammeln.
Die Ursprünge waren gleichmäßig verteiltIran, Jemen, Tunesien, Russland, Indonesien und Bangladesch.Für eine beträchtliche Anzahl von Bots gab es Dokumentationen auf Arabisch, wir konnten jedoch kein genaues Herkunftsland ermitteln.
Erkennen Sicherheitsscan-Tools diese Schwachstellen?
Wir wollten herausfinden, ob einige beliebte automatisierte Sicherheitsscan-Tools die von unseren Forschern entdeckten Sicherheitslücken erkennen würden. Wir haben zwei beliebte Tools zur Überprüfung der Website-Sicherheit ausgewählt:
- Sucuri.net, ein kommerzieller Dienst für Sicherheitsüberprüfung und -schutz
- WPScan, ein Open-Source-Projekt, das WordPress-Sites auf Schwachstellen scannt
Wir haben versucht, mit diesen Tools Websites zu scannen, die bereits unkenntlich gemacht worden waren, was bedeutete, dass der Angreifer immer noch Fernzugriff auf den Server hatte.
Bedauerlicherweise,Keines der Tools* hat kritische Schwachstellen oder Bedrohungen gefundenauf den Websites, die wir gescannt haben, trotz der offensichtlichen Verunstaltung.
Daher sollten sich Administratoren nicht allein darauf verlassen, dass sie die Sicherheit ihrer Websites gewährleisten.
Stattdessen empfehlen unsere Forscher regelmäßige routinemäßige CMS- und Plugin-Updates sowie eine sorgfältige Auswahl dieser Plugins.
*Wir haben das kostenlose SiteCheck-Tool von Sucuri verwendet, um die unleserliche Website zu scannen, sodass es möglich ist, dass die Premium-Version ihres Produkts die Schwachstelle erkannt hat.