后门程序特性分析
安全公司 Sucuri 的研究人员发现,WordPress 的"mu-plugins"(必须使用插件)目录中存在一种隐蔽后门程序。这类插件会自动运行,使攻击者能够隐藏在管理员系统中并维持持久访问权限。
必须使用插件是 WordPress 中的特殊插件类型,无法通过管理面板停用。研究人员在 mu-plugins 目录中发现了一个名为"wp-index.php"的恶意 PHP 文件,该文件作为加载器运行。它会获取经过 ROT13 编码的恶意负载,并将其存储在 WordPress 数据库的_hdra_core 选项中。
恶意代码运作机制
该后门程序会将负载写入磁盘并执行。它采用 ROT13 这种简单的可逆字母移位技术(例如"HelloWorld"变为"UryybJbeyq",每个字母在字母表中移动 13 位)来隐藏代码。这种处理并非真正的加密,只是基本的混淆手段。
恶意软件会解码 ROT13 格式的 URL 来获取经过 base64 编码的负载,将其隐蔽地存储在 WordPress 的_hdra_core 选项中,随后解码并执行,几乎不留痕迹。来自 cron.php 的负载包含一个隐藏文件管理器(pricing-table-3.php),并会创建一个名为 officialwp 的管理员账户。它还会强制安装一个名为 wp-bot-protect.php 的恶意插件,以便在后门被删除时重新安装。
攻击者持久控制手段
Sucuri 发布的报告指出:"令人担忧的是,该恶意软件还包含一个功能,可以将多个常见管理员用户名(包括 admin、root、wpsupport 甚至它自己创建的 officialwp 用户)的密码更改为攻击者设置的默认密码。""这是攻击者在合法管理员更改密码后重新获取访问权限,或锁定其他管理员的一种方式。"
威胁评估
该恶意软件极其危险,它赋予攻击者完全的管理员权限,使其能够控制网站、窃取数据并安装更多恶意软件。它隐藏在 mu-plugins 目录中,将负载存储在数据库内,执行后删除痕迹。该后门能够规避检测,在被删除后重新安装自身,并允许远程命令执行。一旦网站被攻陷,就可能被用于更广泛的攻击活动,成为一种难以检测和清除的持久隐蔽威胁。
参考来源:
