nicco、WeWatchYourWebsite、Automattic 支持的 GridPane和PatchStack的最新研究表明,在受感染環(huán)境中作為插件運(yùn)行的 WordPress 惡意軟件掃描程序存在根本缺陷。惡意軟件掃描儀充其量只是針對(duì)已受損站點(diǎn)的清理工具。它們不是堅(jiān)固的防線,而且現(xiàn)在正在被惡意軟件主動(dòng)擊敗。將惡意軟件檢測(cè)留給優(yōu)質(zhì)主機(jī)。將安全策略重點(diǎn)放在登錄身份驗(yàn)證強(qiáng)化、用戶管理、適當(dāng)?shù)臋?quán)限委派和警惕的版本管理上。
2000 年及后期:惡意軟件掃描程序已經(jīng)不再有用
WordPress 的惡意軟件檢測(cè)插件可以追溯到 2011 年左右,當(dāng)時(shí) SQL 注入攻擊很常見且有效。當(dāng)時(shí)使用 WordPress 的任何人都會(huì)記得一個(gè)廣泛使用的圖像編輯庫(kù),名為TimThumb。它遭受了零日漏洞攻擊,給數(shù)百萬(wàn)個(gè)網(wǎng)站帶來了可怕的后果。
WordPress 安全插件就是在這種緊急情況下誕生的——作為一種反應(yīng)。今天的一些安全插件看起來仍然像 Norton Security 和 McAfee Anti-Virus。這些是 20-30 年前流行的 Windows 安全應(yīng)用程序。但正如約翰·邁克菲在離開他創(chuàng)建的公司后所說,他的防病毒掃描儀已經(jīng)變成了“臃腫軟件”。在他看來,這是“世界上最糟糕的軟件”。
今天,根據(jù)幾位 WordPress 安全研究人員的最新發(fā)現(xiàn),可以對(duì) WordPress 惡意軟件掃描程序得出類似的結(jié)論。
“不能相信已經(jīng)受到損害的環(huán)境能夠進(jìn)行自我分析。”
安全錯(cuò)覺:WordPress 惡意軟件掃描程序經(jīng)受考驗(yàn)
在名為“惡意軟件瘋狂:為什么你所知道的有關(guān) WordPress 惡意軟件掃描程序的一切都是錯(cuò)誤的”系列的第一部分中,WordPress 安全研究員 Calvin Alkan(安全公司 Snicco 的創(chuàng)始人)分享了他的一些工作。Alkan 與 Patrick Gallagher(GridPane 首席執(zhí)行官兼聯(lián)合創(chuàng)始人)和 Thomas Raef(WeWatchYourWebsite.com 所有者)合作,看看是否可以擊敗惡意軟件掃描程序。毫不奇怪,事實(shí)證明他們可以被擊敗——而且非常容易。Patchstack 對(duì) Alkan 的結(jié)果進(jìn)行了獨(dú)立確認(rèn)。
本地掃描儀:電話來自屋內(nèi)
在測(cè)試中,阿爾坎和他的合作者首先查看了本地掃描儀。Wordfence、WPMU Defender、All-In-One Security (AIOS) 的免費(fèi)版本和 NinjaScanner 在與其安裝的 WordPress 站點(diǎn)相同的服務(wù)器上完成所有工作。這意味著惡意軟件掃描程序使用與 WordPress 和感染它的惡意軟件相同的 PHP 進(jìn)程。沒有什么可以阻止惡意軟件與掃描儀主動(dòng)交互。該惡意軟件可以禁用它檢測(cè)到的任何安全插件,將其自身列入白名單,或操縱掃描儀,使它們無法檢測(cè)到入侵。
“惡意軟件掃描程序和惡意軟件都在同一個(gè) PHP 進(jìn)程中運(yùn)行。這意味著惡意軟件可以操縱或篡改掃描儀的功能 –等效的情況是被告在法庭審判中擔(dān)任自己的法官。”
阿爾坎和他的合作伙伴制作了一個(gè)有效的概念驗(yàn)證來?yè)魯阂廛浖呙璩绦颍⑴c安全研究人員和供應(yīng)商私下共享他們的漏洞利用工具包。Patchstack 首席執(zhí)行官 Oliver Sild 表示,這些套件僅包含幾行代碼。
Alkan 還發(fā)現(xiàn),“使用 PHP 動(dòng)態(tài)構(gòu)建自身”的“渲染”惡意軟件無法被本地惡意軟件掃描程序檢測(cè)到。最后,本地掃描儀未能檢測(cè)到“進(jìn)程內(nèi)”惡意軟件。這種類型的惡意軟件“執(zhí)行一次,然后從系統(tǒng)中刪除自身,不留下任何存在的痕跡”。
遠(yuǎn)程掃描儀:被篡改證據(jù)和清理犯罪現(xiàn)場(chǎng)所擊敗
在遠(yuǎn)程服務(wù)器上執(zhí)行分析的掃描儀包括 Malcare、Virusdie、All-In-One Security (AIOS) Pro、Sucuri 和 JetPack Scan。這些較新的遠(yuǎn)程掃描方法具有多個(gè)優(yōu)點(diǎn),包括減少占用空間以及對(duì)本地服務(wù)器性能的影響。本地掃描程序使用您站點(diǎn)的服務(wù)器資源來完成其工作,這會(huì)產(chǎn)生性能成本。遠(yuǎn)程惡意軟件分析也不會(huì)受到操縱,因?yàn)樗粫?huì)與活動(dòng)惡意軟件感染發(fā)生在同一 PHP 進(jìn)程中。
遠(yuǎn)程掃描儀容易受到惡意軟件的攻擊,這些惡意軟件會(huì)操縱發(fā)送回遠(yuǎn)程服務(wù)器進(jìn)行分析的數(shù)據(jù)。Alkan 構(gòu)建了另一個(gè)概念驗(yàn)證,證明遠(yuǎn)程掃描儀可以通過這種方式被擊敗 – 通過隱藏惡意軟件感染的“證據(jù)”。Oliver Sild 也證實(shí)了這一結(jié)果:
“從概念上講,可以通過將本地插件作為欺騙目標(biāo)來實(shí)現(xiàn)數(shù)據(jù)篡改。我們收到了一個(gè)概念驗(yàn)證,清楚地證明了這一點(diǎn)。”
稍微不同的惡意軟件策略可能涉及“清理犯罪現(xiàn)場(chǎng)”并且不留下任何感染痕跡可供掃描。阿爾坎認(rèn)為這是可能的,但沒有提供概念證明。
請(qǐng)務(wù)必注意,當(dāng)您嘗試檢測(cè)惡意軟件感染時(shí),用于查找未經(jīng)授權(quán)的更改的文件完整性掃描可能會(huì)很有幫助。這種類型的掃描將本地文件與受保護(hù)的遠(yuǎn)程代碼存儲(chǔ)庫(kù)進(jìn)行比較,以檢測(cè) WordPress 核心或插件和主題文件中的非官方更改。不幸的是,如果該過程被惡意軟件篡改,則更改檢測(cè)可能會(huì)失敗。
不僅僅是假設(shè):惡意軟件已經(jīng)在野外禁用 WordPress 安全掃描程序
繼 Alkan 的漏洞利用工具包之后,Snicco 報(bào)告中最大的披露來自WeWatchYourWebsite的首席執(zhí)行官 Thomas Raef ,該公司跟蹤被黑的 WordPress 網(wǎng)站:
“在過去 60 天內(nèi),有 52,848 個(gè)網(wǎng)站因在感染前安裝了 WordFence 而遭到黑客攻擊。在 14% 的情況下(7,399),安裝的惡意軟件篡改了 WordFence 文件。其他受歡迎的服務(wù)的比例甚至更高;MalCare 占 22%,VirusDie 占 24%。”
惡意軟件掃描插件的游戲就結(jié)束了。它告訴我們,WordPress 惡意軟件掃描是純粹的安全劇場(chǎng)——“采取安全措施的做法被認(rèn)為可以提供安全性提高的感覺,但幾乎不采取任何行動(dòng)來實(shí)現(xiàn)這一目標(biāo)。”
毫無疑問,這種情況也已經(jīng)持續(xù)了很長(zhǎng)時(shí)間。
安全行業(yè)資深人士、Kadence營(yíng)銷總監(jiān)Kathy Zant告訴 Alkan:
“在大約 18 個(gè)月的時(shí)間里,我在 WordPress 中為一家知名公司清理 WordPress 網(wǎng)站,在我任職期間從 2,000 多個(gè)網(wǎng)站中刪除了惡意軟件。我看到的最早的時(shí)??間范圍[惡意軟件擊敗惡意軟件掃描]是在 2017 年中后期。[…]我確信它仍然存在。而且很可能還有其他變體執(zhí)行類似的操作,甚至更糟糕。”
這是壞消息:惡意軟件掃描程序不可信。好消息是他們從未提供過真正的防守。如果你失去的只是一種安全感的幻覺,那么這實(shí)際上是邁向獲得真正安全感的一步。
如何正確保護(hù)您的 WordPress 網(wǎng)站
繼 Snicco 等報(bào)告之后,最大的問題是:“WordPress 網(wǎng)站如何才能獲得對(duì)其安全性的高度信心?”
Alkan 認(rèn)為,安全方法必須針對(duì)每個(gè)服務(wù)器堆棧進(jìn)行定制,而主機(jī)執(zhí)行的服務(wù)器端惡意軟件掃描是網(wǎng)站所有者唯一有價(jià)值的掃描類型。
“WordPress 安全插件應(yīng)該只做那些最好在應(yīng)用程序/PHP 層完成的事情,”他強(qiáng)調(diào)道。
“WordPress 社區(qū)需要將其安全方法從檢測(cè)轉(zhuǎn)向預(yù)防,同時(shí)保持惡意軟件掃描的重要性,以驗(yàn)證‘更高層’安全的有效性。”
Alkan 表示,強(qiáng)大的用戶登錄安全性(例如雙因素身份驗(yàn)證和密碼以及會(huì)話安全性)是 WordPress 插件可以提供幫助的領(lǐng)域(例如iThemes Security等插件) 。這一直是我們開發(fā)團(tuán)隊(duì)的指導(dǎo)理念——安全插件最適合強(qiáng)化站點(diǎn)并減少攻擊面。
強(qiáng)化 WordPress 網(wǎng)站防御的其他重要方法包括遵循最小權(quán)限原則的仔細(xì)用戶管理:永遠(yuǎn)不要向用戶授予不必要的權(quán)力。對(duì)于更有特權(quán)的用戶來說,他們需要更高的安全標(biāo)準(zhǔn)——2FA、密鑰、可信設(shè)備以及從未出現(xiàn)在已知漏洞中的強(qiáng)密碼。
當(dāng)今的攻擊趨勢(shì)是通過密碼填充、網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚來智能地針對(duì)中小型企業(yè)。這些攻擊媒介利用弱登錄身份驗(yàn)證和人為錯(cuò)誤。他們使用暴力和巧妙的社會(huì)工程策略來破壞個(gè)人用戶帳戶。有了被黑的用戶帳戶,攻擊者就可以造成很大的破壞。如果他們還發(fā)現(xiàn)有漏洞的插件可供利用,他們可能會(huì)造成更大的傷害。一旦進(jìn)入您的系統(tǒng),攻擊者就可以創(chuàng)建后門以便隨時(shí)溜回來。
強(qiáng)調(diào)惡意軟件掃描的安全插件并不能阻止它們。
