自2016年開始,網絡犯罪份子已經開始利用不安全的插件和主題,以感染WordPress的網站,並把訪客導引至惡意網站,近日研究人員發現一個命名為DollyWay World Domination的活動,直至今年2月已經成功感染全球超過1萬個WordPress網站。
利用惡意活動謀利
由DollyWay產生的導引連結含有聯盟識別符,就像很多博主宣傳產品或服務時經常使用的推薦計劃一樣,識別符使網站能夠追蹤用戶的來源,訪客藉著連結購物時博主可從中賺取佣金,DollyWay World Domination活動以相同的方法謀利,它利用了VexTrio和LosPollos的聯盟計劃。
Vextrio有「犯罪份子Uber」之稱,據報告稱自2017年開始活躍,服務主要角色為詐騙內容、間諜軟件、惡意程式和色情內容的代理,VexTrio把DollyWay的流量導引至詐騙網站,惡意程式會把受害者分類,然後把他們導引至不同類型的網站,例如假約會網站、加密貨幣詐騙或賭博網頁。LosPollos則是專門售賣流量至合法服務,每常DollyWay把流量導向LosPollos推廣的網站時,重新導向經常含有LosPollos聯盟帳號相同的識別碼,兩者的合作關係顯示了,在某些個案內從受感染網站的重新導引有時並非指向惡意網站,而是Google Play上架的保法應用程式,例如Tinder或TikTok。
在感染的網站上隱藏自己
網絡犯罪份子對於惡意程式的防止偵測及移除下了相當功夫,惡意編碼不但放入了所有啟動的插件,移除更加容易的事,DollyWay部署了進階的重新感染機制,每次造訪被感染網站的頁面時都會觸發,如果沒有從啟動的插件和片段中移除所有惡意編碼,讀取網站任何一個網站都會再重新感染。而且偵測DollyWay也並非容易的事,惡意程式擅於隱藏在受感染網站,為了維持被感染網站的存取權,攻擊者會建立自己擁有管理員權限的帳號,並且在WordPress的儀錶盤上隱藏這個惡意的帳號。
即使帳號被發現,攻擊者也會騎劫合法管理員的憑證,為此DollyWay監察所有管理員登入表格的輸入,並儲存到隱藏檔案,攻擊者也進一步確保他們能夠維持操作,研究人員發現證據攻擊者使用腳本持續感染網站,特別是它能夠更新WordPress、安裝和更新元件,以及開始加入惡意編碼。專家也發現了一個Web Shell,攻擊者利用它來更新被感染的網站,並阻止競爭對手的惡意程式,顯示他們刻意防止其他惡意程式騎劫流量,又或者可能觸發保安警號提醒網站持有人的情況。
研究人員相信維持性的腳本和Web Shell並非部署在所有被DollyWay感染的網站,維持全部1萬個網站對建礎設施的資源要求過高,所以攻擊者很大機會只部署在最高價值的網站。
保護公司網站
DollyWay World Domination事件再次強調了定期保安審查對公司網站的需要性,當涉及WordPress網站時,插件和主題值得特別注意,歷史顯示它們是平台上最詭弱的部份。如果懷疑公司網站已經是DollyWay的受害者,研究人員建議留意檔案創建和刪除的事件,DollyWay v3部份版本會在每次網頁被凟取時對檔案進行操作,不幸發現跡象便應該採取以下行動:
- 暫時把被感染網站下線,把所有流量指到一個靜態網頁,又或者至少在移除惡意程式時停止所有插件的活動。
- 移除所有可疑插件,但謹記DollyWay會在WordPress儀錶板上隱身。
- 刪除所有未經認可的管理員帳號,同樣要注意隱身的問題。
- 從持有管理員特權的帳號開始,全部用戶更改WordPress密碼。
- 啟動WordPress登入的雙重驗證
- 如果公司沒有足夠資源處理,向第三方的事故處理專家尋求協助。
資料來源:Kaspersky Blog
