Saldırganlar, meşru WordPress bileşenleri olarak gizlenmiş gizli backdoorları dağıtarak taktiklerini artırdılar ve diğer kötü amaçlı yazılımlar keşfedildikten ve kaldırıldıktan sonra bile kalıcı idari erişim sağladılar.
Aldatıcı görünümleri tehlikeli işlevlerine inanıyordu: biri bir eklenti taklit etti, diğeri kendisini bir çekirdek dosya olarak kamufle etti. Birlikte, bilgisayar korsanlarına tehlikeye atılan web sitesi üzerinde sınırsız kontrol sağlayan esnek bir sistem oluşturdular.
Uzaklaştırılmış bir sitenin yakın tarihli bir temizliği sırasında, iki kötü amaçlı dosya ortaya çıkarıldı – bu standart WordPress kodu olarak maskeleniyor, ancak yönetici hesaplarını sessizce değiştirmek için tasarlandı.
İlk kötü niyetli bileşen şu adreste bulunuyordu ./wp-content/plugins/DebugMaster/DebugMaster.php.
“Debugmaster Pro” olarak faturalandırılan, makul eklenti meta verileri ve tipik geliştirici yorumları sundu. Gerçekte, içeriği yoğun bir şekilde gizlendi ve gizli rutinlerle doluydu.
Yakın incelemede, bu dosya, sert kodlanmış kimlik bilgilerine sahip gizli bir yönetici kullanıcısı oluşturan, daha sonra sorguları filtreleyerek ve eklenti listesinden kaldırarak bu kullanıcıyı gizleyen kod içeriyordu.
İkinci dosya, ./wp-user.phpWordPress kurulumunun kökünde oturdu, sadece başka bir çekirdek dosya olarak göründü.
Tasarımda sahte eklentiden çok daha akıcı ama aynı derecede sinsi. Bu komut dosyası belirli bir yönetici kullanıcısının varlığını sürekli olarak kontrol etti.
Kullanıcı varsa, dosya silecek ve ardından saldırganın bilinen şifresiyle derhal yeniden oluşturur; Kullanıcı mevcut olmasaydı, bunu oluşturur.
Bu snippet, WordPress’i yönetici rolüyle ilgili yardım adlı yeni bir kullanıcı oluşturmaya zorlar. Kullanıcı zaten varsa, komut dosyası yönetici ayrıcalıklarının geri yüklenmesini sağlar.
Bu döngüsel işlem sayesinde, hesabı kaldırma veya değiştirme girişimi anında tersine çevrildi.
Kötü amaçlı yazılım ne yapıyordu?
Her iki dosya da aynı hedefi paylaştı: davetsiz misafirler için devam eden idari ayrıcalıkları garanti etmek.
Debugmaster Pro ile gizlenen karmaşık arka kapı, etkinleştirme üzerine yeni bir yönetici kurdu ve bu kimlik bilgilerini uzak bir komut ve kontrol sunucusuna iletti.
Kimlik bilgileri JSON’da biçimlendirildi, Base64 kodlu ve gizli bir uç nokta ile iletildi-saldırganların alarm tetiklemeden giriş ayrıntılarını izlemesine ve hasat etmesine izin verildi.
Eşzamanlı olarak, WP-User.php komut dosyası agresif bir kurtarma aracı olarak işlev gördü. Her yürütme için belirtilen yönetici kullanıcısının oluşturulmasını veya rekreasyonunu uygulayarak manuel çıkarmayı boşuna hale getirdi.
Site sahipleri şüpheli hesapları fark etmiş ve bunları silmeye veya yeniden adlandırmaya çalışsa bile, komut dosyası saldırganın bir sonraki sayfa yüküne veya planlanan etkinliğe erişimini geri yükledi.
Hesap manipülasyonunun ötesinde, hata ayıklama dosyası, yöneticiler ve beyaz eşleştirilmiş IP adresleri hariç her ziyaretçi sayfasına harici JavaScript enjekte etti.
Bu enjekte edilen kod, kötü amaçlı alanlara trafiği yeniden yönlendirmek, spam içeriğinin sağlanması veya ziyaretçi verilerinin hasat edilmesi için birden fazla amaca hizmet edebilir. Ayrıca, keşif için yöneticilerin IP adreslerini topladı, yerel olarak günlüğe kaydetti veya saldırganlara geri gönderdi.
Kötü amaçlı yazılımların analizi
Sahte Debugmaster Pro eklentisi, tehdit aktörlerinin sosyal mühendislik ve teknik gizlemeden nasıl yararlandığını örneklendirir.
Meşru bir geliştirici araç eklentisini taklit ederek, saldırganlar, zararsız bir eklentiyi göz ardı edebilecek site yöneticilerinden incelemeyi azalttı.
Kombinasyonda, bu iki dosya çift katmanlı bir kalıcılık stratejisi yarattı: bir gizli ve uzaktan izleme için bir katman, diğeri kimlik bilgilerinin kaba kuvvet restorasyonu için.
Arka kapı kodu, Base64 kodlama katmanlarının arkasına gizlendi ve imza tabanlı tarayıcılar tarafından algılanmayı zorlaştırdı.
Filtreleme kancaları, WordPress kontrol panelinden varlığının herhangi bir izini kaldırırken, uzak günlük kanalı saldırganlarının yeni yönetici hesaplarında gerçek zamanlı güncellemeler almasını sağladı.
Bu arada, WP-User.php Backdoor basit ama etkili bir kalıcılık mekanizması gösterdi. Karmaşık kaçırma tekniklerine güvenmek yerine, saldırganın seçilen hesabının asla kalıcı olarak kaldırılamayacağını garanti etti.
Hesap bakımına yönelik bu kaba kuvvet yaklaşımı, yetenekli bir yöneticinin bile, ilk önce kötü amaçlı dosyanın kendisini tanımlamadan ve silmeden komut dosyasını geride bırakamayacağı anlamına geliyordu.
Bu hibrit yöntem, saldırganların WordPress sitesine süresiz olarak gömülü kalmasına, temizleme çabalarından kaçmasına ve tam kontrolü korumasına izin verdi.
Web sitesi sahiplerine, yetkisiz değişiklikler için tüm eklenti dizinlerini ve temel dosyaları denetlemeleri, dosya bütünlüğü izlemesini etkinleştirmeleri ve bu sofistike sessiz kötü amaçlı yazılım kampanyalarına karşı savunmak için katı yönetim hesap incelemelerini uygulamaya çağırır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.