主机托管企业GoDaddy的安全研究团队指出,他们发现自2016年开始的网站恶意软件攻击行动DollyWay,迄今已入侵超过2万个网站。黑客通过恶意流量导向系统(Traffic Direction System,TDS)、C2节点形成的分布式网络基础设施,锁定WordPress网站而来。而在最新一波攻击行动,黑客进一步采用加密数据传输、复杂的注入手法,以及自动化的重复感染机制。
特别的是,这批黑客还会帮受害网站更新WordPress、移除其他恶意软件,而这么做的目的是为了进一步完全控制,不让其他黑客瓜分受害网站的资源。
针对恶意软件DollyWay,研究人员指出这是专门针对WordPress网站开发的作案工具,黑客利用在受害网站构建的C2及TDS节点,将用户重定向到VexTrio与LosPollos的广告连接进行牟利。截至今年2月,他们看到其中1万个被感染的网站里,出现1千万个冒牌网页,这些网页内置恶意脚本,针对不同的IP地址用户而来。这款恶意软件已经进化第三代,黑客运用wp-content/counts.php脚本,将特定的受害网站设置为C2或是TDS。
为了持续在受害网站活动,黑客设置了重复感染机制,首先他们将恶意PHP程序代码以WPCode小工具的形式,注入所有激活的插件程序。一旦受害网站遭到感染,黑客的活动就不会停止,因为每次只要有任意的WordPress网页打开,就会启动重复感染链,即使网站管理员发现,也很难彻底清除。
这个感染链大致分成4个步骤。首先是从特定的名单里,停用Wordfence、Ninja Firewall、All-In-One Security(AIOS)等安全插件。
接着恶意程序找到已经感染的插件程序或WPCode小工具,再度对注入的DollyWay程序代码进行混淆处理。而对于已经激活,但尚未感染的插件程序,黑客会对其注入经混淆处理的DollyWay程序代码。最后删除受害网站所有的WPCode小工具,并植入新的恶意版本。
附带一提的是,由于WPCode在WordPress管理界面其中相当显眼,为了避免管理员发现异状,他们也删除主控台所有WPCode菜单,并从插件程串行表移除WPCode。
