Sucuri的安全研究人員檢測(cè)到攻擊者利用Wordpress插件的漏洞進(jìn)行攻擊活動(dòng)。該攻擊活動(dòng)中有超過(guò)2000個(gè)WordPress網(wǎng)站被黑，并重定向受害者到含有瀏覽器通知訂閱、假的問(wèn)卷調(diào)研和假的Adobe Flash下載活動(dòng)的垃圾郵件站點(diǎn)。

JS注入

該漏洞被利用后，攻擊者可以注入JS腳本到站點(diǎn)的主體，JS腳本可以從admarketlocation[.]com和 gotosecond2[.]com加載的腳本，如下圖所示：

受害者訪問(wèn)被黑的站點(diǎn)時(shí)，注入的腳本就會(huì)在后臺(tái)嘗試訪問(wèn)/wp-admin/options-general.php 和 /wp-admin/theme-editor.php管理URL以進(jìn)一步注入腳本或修改wordpress設(shè)置來(lái)重定向訪問(wèn)者。

注入腳本來(lái)入侵站點(diǎn)

這些URL需要管理員訪問(wèn)，所有只有當(dāng)管理員訪問(wèn)站點(diǎn)時(shí)才可以成功。其他身份的用戶訪問(wèn)時(shí)就會(huì)加載不同的垃圾郵件頁(yè)面。

BleepingComputer研究人員在測(cè)試過(guò)程中發(fā)現(xiàn)會(huì)被重定向到一些垃圾站點(diǎn)，這些站點(diǎn)會(huì)告知用戶需要訂閱瀏覽器通知才能進(jìn)行下一步。

用戶點(diǎn)擊Allow按鈕訂閱通知后，就會(huì)被重定向到其他垃圾站點(diǎn)，比如假的問(wèn)卷調(diào)研、技術(shù)支持郵件和假的Adobe Flash Player更新。

條件檢查和混淆技術(shù)

除了注入JS外，Sucuri研究人員還發(fā)現(xiàn)攻擊者創(chuàng)建了偽造的插件目錄來(lái)上傳其他惡意軟件到被黑的站點(diǎn)。

攻擊者創(chuàng)建了一個(gè)名為ijmjg的變量，并使用函數(shù)String.fromCharCode()來(lái)以UTF-16格式隱藏惡意重定向URL，而不是常見(jiàn)的ASCII碼字符。攻擊者還使用/* */來(lái)添加注釋，作為一種繞過(guò)技術(shù)來(lái)隱藏混淆，所以其他人無(wú)法輕易搜索文本字符串的文件。

函數(shù)checkone() 負(fù)責(zé)檢查加載payload的訪問(wèn)者是否有“_logged_in” cookie，是否請(qǐng)求了/wp-admin URL中的payload。如果這些條件都滿足，JS函數(shù)location.replace就會(huì)重定向訪問(wèn)者到ijmjg變量中保存的惡意重定向URL。研究人員預(yù)測(cè)該變量會(huì)在未來(lái)的惡意軟件變種中發(fā)生變化。

研究人員還發(fā)現(xiàn)攻擊者創(chuàng)建了一個(gè)偽造的插件目錄，其中含有下一步的惡意軟件，也濫用了/wp-admin/上傳zip壓縮文件的特征，即使用/wp-admin/includes/plugin-install.php文件來(lái)執(zhí)行上傳操作，并解壓壓縮的偽造插件到/wp-content/plugins/。

研究人員發(fā)現(xiàn)最常見(jiàn)的兩個(gè)偽造插件目錄是/wp-content/plugins/supersociall/supersociall.php和/wp-content/plugins/blockspluginn/blockspluginn.php。

本文參考自：https://www.bleepingcomputer.com/news/security/thousands-of-wordpress-sites-hacked-to-fuel-scam-campaign/

總結(jié)

以上是生活随笔為你收集整理的wordpress漏洞_WordPress站点恶意JS注入漏洞分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。