WordPress可用来快速创建网站,基于这个内容管理系统而成的网站很多,也是许多歹徒觊觎的对象,而拿下此类网站的其中一种目的,是将其作为传播恶意程序的渠道,攻击者运用的手法也日益刁钻。
近期发生在安全企业Sucuri客户网站的安全事故,就是这样的例子。攻击者在受害网站重要的WordPress组件wp-settings.php其中,插入两行可疑的程序代码,试图利用zip://通信协议,从压缩文件win.zip加载恶意的PHP文件。Sucuri指出,这种手法相当隐秘,能够将恶意程序代码埋藏在看似无害的ZIP文件。
他们进一步调查此事并找到了win.zip,其内容含有高度混淆处理的PHP文件,该文件就是主要的恶意脚本。
一旦此脚本启动,就会先设置执行所需的环境,以免攻击的过程被安全系统侦测出异常,而被迫中断。特别的是,此恶意程序还会检查受害网站是否使用HTTPS连接,原因是为了能正确抓取外部资源,并避免用户端出现混合内容的警告。
此恶意程序通过POST发送网站资讯至C2,并从远程服务器加载特定内容,最终将用户重定向到特定网站。附带一提,该恶意程序还会根据用户访问的路径,将他们导向不同的域名。
究竟攻击者的目的是什么?Sucuri认为,最主要是操纵搜索引擎对恶意网站的排名。攻击者借由在受害网站注入垃圾内容、未经授权的网站地图、进行301重定向(浏览器连至已永久改变网址的页面时,可通过呈现状态码301来表达,通常也会发送HTTP Location,重新引导至新位置),从而拉升恶意网站的搜索结果。由于这次攻击者同时使用ZIP文件、多层次混淆,以及防机器人功能,使得网站管理员难以自行发现异状,并进一步清除恶意程序代码。
