最近几周,WordPress生态系统面临的最普遍的恶意软件感染之一称为WP-VCD运动 。尽管该活动存在相对较长的时间,但自2019年8月以来,Wordfence威胁情报团队每周都将WP-VCD与新感染率相关联,这一趋势比任何其他WordPress恶意软件都要高,并且该活动没有丝毫放缓的迹象。
在今天的文章中,我们将发布分析WP-VCD的综合白皮书。本白皮书包含了我们对这一流行运动的研究工作的全部细节。它可以作为威胁分析人员、安全研究人员、WordPress开发人员和管理员以及对跟踪或阻止与WP-VCD相关的行为感兴趣的其他人员的资源。
{#toc-1}WP-VCD简介
WP-VCD感染本身通过"免费"或盗版的插件和主题传播,这些插件和主题由相关站点的网络分发,并且一旦部署,它的传播方式就非常引人注目。在幕后,大量的命令和控制(C2)基础结构以及自我修复感染使攻击者能够在这些感染站点上保持立足之地,非常难清理!
WordPress大学呼吁:请不要再使用盗版和所谓"免费"的高级主题和插件,否则很容易就感染这样恶意代码,得不偿失! WP-VCD通过修改 WordPress 核心文件并在/wp-includes目录中添加新文件,WP-VCD恶意软件在WordPress站点中创建了后门。注入恶意软件后,它会在WordPress后台上秘密创建一个用户名为"100010010"的管理员账户。这样一来,它便可以访问您的网站,然后可以注入更多的恶意代码以供以后滥用。
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '2f3ad13e4908141130e292bf8aa67474'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{
case 'change_domain';
if (isset($_REQUEST['newdomain']))
上面的代码段来自受WP-VCD感染的站点上的受感染的functions.php文件。由于该活动的普遍性,具有处理WordPress恶意软件感染经验的任何人都可以根据这个示例代码来识别是否被WP-VCD感染。
完整报告中包含WP-VCD活动的详细信息和代码分析。
{#toc-2}基础架构、盈利和归因
在其历史的各个阶段,已经添加了特定功能并从恶意软件中删除了特定功能,但是WP-VCD 的大多数核心组件仍然保持一致。获利主要来自两个方面:旨在通过黑帽SEO操纵搜索引擎结果的病毒式营销活动,以及为浏览受感染网站的用户创建潜在危险的重定向和弹出广告的恶意代码。
在白皮书中,我们对WP-VCD的基础架构和货币化方案的范围提供了一些见解。我们还将揭示数据,这些数据可归因于战役背后的威胁参与者。
{#toc-3}妥协指标(IOC)
为了帮助安全界预防,发现和根除WP-VCD感染,我们提供了与此活动相关的IOC的详尽列表。我们还共享了一些与YARA兼容的恶意软件检测规则,供公众使用以识别受感染的站点。
{#toc-4}阅读完整报告
我们对WP-VCD进行调查的全部范围远远超出了典型的研究博客文章的范围,因此,请阅读完整的白皮书:WP-VCD:您在自己的网站上安装的恶意软件。
鸣谢:Mikey Veenstra的WP-VCD白皮书。由Sean Murphy和Ramuel Gall编辑。