Недавний случай обнаружения вредоносного ПО на взломанных веб-сайтах WordPress показал высокую степень сложности и скрытности атак. Злоумышленники разработали цепочку заражения, которая позволяет доставлять троянца пользователям без типичных признаков компрометации, что значительно усложняет обнаружение и предотвращение атаки.
Механизм работы вредоносного кода
Ключевой элемент атаки – внедрение вредоносного кода в легальные PHP-файлы, такие как header.php и man.php. Эти файлы выполняют центральную роль в управлении всей цепочкой заражения:
- header.php действует как главный контроллер. Он собирает информацию о посетителях, создает черный список на основе IP-адресов и генерирует запутанный пакетный скрипт.
- Пакетный скрипт, созданный header.php, запускает загрузку ZIP-архива с вредоносным файлом client32.exe – троянской программой для Windows.
- При посещении сайта вредоносное ПО записывает IP-адрес в файл журнала count.txt, что позволяет избежать повторного заражения с одного IP.
Работа пакетного скрипта включает последовательное выполнение команд PowerShell для загрузки, извлечения и запуска полезной нагрузки трояна. Для обеспечения устойчивости вредоносного ПО скрипт добавляет запись в реестр Windows, чтобы client32.exe автоматически запускался при старте системы.
Особенности функционала троянца client32.exe
После активации client32.exe устанавливает постоянное соединение с сервером управления (C2) по заранее определенному IP-адресу. Несмотря на то, что полная реализация вредоносной программы не была детально проанализирована, её поведение указывает на наличие основных функций трояна удаленного доступа (RAT), таких как:
- автоматическое выполнение;
- постоянное подключение к C2-инфраструктуре;
- удаленное управление зараженной системой.
Значение и рекомендации по защите
Данный инцидент являлся ярким примером эволюции методов взлома, в которых киберпреступники используют сочетание PowerShell и пакетных скриптов для скрытого развертывания и запуска вредоносного ПО, обходя механизмы обнаружения. В современных условиях это требует особого внимания к превентивным мерам для защиты веб-ресурсов и конечных пользователей.
Рекомендуется соблюдать следующие меры:
- регулярно проводить сканирование сайтов на наличие вредоносных модулей;
- использовать веб-аппликационные брандмауэры (WAF) для фильтрации подозрительного трафика;
- оперативно применять обновления и патчи для CMS и сопутствующих компонентов;
- ограничивать права доступа пользователей и контролировать загрузку исполняемых файлов;
- поддерживать актуальность антивирусного и антималварного ПО на пользовательских устройствах.
Безопасность веб-сайтов на WordPress требует системного подхода и постоянного мониторинга — только так возможно эффективно противодействовать сложным и скрытым угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Сложная цепочка заражения WordPress: анализ троянца и дроппера".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.