特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

最近几周,WordPress生态系统面临的最普遍的恶意软件感染之一称为WP-VCD运动。尽管该活动存在相对较长的时间,但自2019年8月以来,Wordfence威胁情报团队每周都将WP-VCD与新感染率相关联,这一趋势比任何其他WordPress恶意软件都要高,并且该活动没有丝毫放缓的迹象警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD在今天的文章中,我们将发布分析WP-VCD的综合白皮书。本白皮书包含了我们对这一流行运动的研究工作的全部细节。它可以作为威胁分析人员、安全研究人员、WordPress开发人员和管理员以及对跟踪或阻止与WP-VCD相关的行为感兴趣的其他人员的资源。

WP-VCD简介

WP-VCD感染本身通过“免费”或盗版的插件和主题传播,这些插件和主题由相关站点的网络分发,并且一旦部署,它的传播方式就非常引人注目。在幕后,大量的命令和控制(C2)基础结构以及自我修复感染使攻击者能够在这些感染站点上保持立足之地,非常难清理!

WP-VCD通过修改 WordPress 核心文件并在/wp-includes目录中添加新文件,WP-VCD恶意软件在WordPress站点中创建了后门。注入恶意软件后,它会在WordPress后台上秘密创建一个用户名为“100010010”的管理员账户。这样一来,它便可以访问您的网站,然后可以注入更多的恶意代码以供以后滥用。


上面的代码段来自受WP-VCD感染的站点上的受感染的functions.php文件。由于该活动的普遍性,具有处理WordPress恶意软件感染经验的任何人都可以根据这个示例代码来识别是否被WP-VCD感染。

完整报告中包含WP-VCD活动的详细信息和代码分析。

基础架构、盈利和归因

在其历史的各个阶段,已经添加了特定功能并从恶意软件中删除了特定功能,但是WP-VCD的大多数核心组件仍然保持一致。获利主要来自两个方面:旨在通过黑帽SEO操纵搜索引擎结果的病毒式营销活动,以及为浏览受感染网站的用户创建潜在危险的重定向和弹出广告的恶意代码。

在白皮书中,我们对WP-VCD的基础架构和货币化方案的范围提供了一些见解。我们还将揭示数据,这些数据可归因于战役背后的威胁参与者。

妥协指标(IOC)

为了帮助安全界预防,发现和根除WP-VCD感染,我们提供了与此活动相关的IOC的详尽列表。我们还共享了一些与YARA兼容的恶意软件检测规则,供公众使用以识别受感染的站点。

未经允许不得转载:作者:admin, 转载或复制请以 超链接形式 并注明出处 紫苏资源网
原文地址:《警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD》 发布于2019-11-29

分享到:
赞(0) 打赏

评论 抢沙发

评论前必须登录!

  注册



警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

Vieu4.5主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册