Standart güvenlik kontrollerine tam görünmezliği korurken, Windows Truva atlarını şüphesiz ziyaretçilere sunan karmaşık bir enfeksiyon zinciri kullanan WordPress web sitelerini hedefleyen sofistike bir çok aşamalı kötü amaçlı yazılım kampanyası keşfedildi.
Kötü amaçlı yazılım, Web tabanlı saldırı tekniklerinde önemli bir evrimi temsil eder ve PHP arka kapılarını kurban sistemlerine kalıcı erişim sağlamak için ileri kaçırma mekanizmalarıyla birleştirir.
Saldırı, belirgin bir uzlaşma belirtisi göstermeyen aldatıcı bir WordPress kurulumu ile başlar.
.png
)
Genellikle görünür bozulmalar veya şüpheli yönlendirmeler sergileyen geleneksel kötü amaçlı yazılım enfeksiyonlarının aksine, bu kampanya tamamen yüzeyin altında çalışır ve algılamayı web sitesi yöneticileri ve güvenlik araçları için son derece zorlaştırır.
Sucuri araştırmacıları, başlangıçta neyin rutin bir WordPress uzlaşması gibi göründüğünü araştırdıktan sonra bu karmaşık tehdidi belirlediler.
Kötü amaçlı yazılım, PHP tabanlı damlalar, yoğun gizlenmiş kod, IP tabanlı kaçış teknikleri, otomatik olarak oluşturulmuş toplu komut dosyaları ve Client32.exe olarak tanımlanan son Windows Trojan yükünü içeren kötü amaçlı bir fermuar arşivini içeren katmanlı bir yaklaşım kullanır.
.webp)
Enfeksiyon mekanizması, ziyaretçileri katı anti-analiz önlemlerini profilleyen ve uygulayan sofistike bir PHP denetleyici sistemine odaklanır.
Birincil bileşen olan Header.php, aynı kaynaktan tekrarlanan enfeksiyonları önlemek için IP tabanlı günlüğü uygulayan merkezi zeka merkezi olarak işlev görür.
Bu dosya yalnızca POST isteklerine yanıt verir ve ziyaret eden IP adreslerini izlemek için count.txt’de bir kara liste tutar ve her kurbanın yükü yalnızca bir kez almasını sağlar.
Gelişmiş yük sunumu ve kalıcılık mekanizmaları
Kötü amaçlı yazılımların yük dağıtım sistemi, dinamik toplu dosya oluşturma özellikleri aracılığıyla dikkate değer teknik gelişmişlik göstermektedir.
Yeni bir kurban tanımlandığında, Header.php, enfeksiyon sürecini düzenleyen bir Windows toplu komut dosyası oluşturur.
Bu komut dosyası, harici sunuculardan kötü amaçlı fermuar arşivini indirmek için PowerShell komutlarını, özellikle yük depolama için % AppData % dizinini hedefleyen harici sunuculardan indirmek için kullanır.
Kalıcılık mekanizması, bu kampanyanın en ilgili yönlerinden birini temsil eder. Yürütme üzerine, oluşturulan toplu komut dosyası, bir giriş ekleyerek Windows kayıt defterini değiştirir. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunTruva Client 32.exe’nin sistem başlatma sırasında otomatik olarak başlatılmasını sağlamak.
Bu kayıt defteri değişikliği, sistem yeniden başlatmaları ve kullanıcı oturumlarında kötü amaçlı yazılımın hayatta kalmasını garanti eder.
Nihai yük, 443 bağlantı noktasında 5.252.178.123 numaralı telefondan komut ve kontrol sunucusuna arka kapı bağlantısı oluşturur ve gelişmiş kalıcı tehditlere özgü uzaktan erişim özelliklerini sağlar.
Kötü amaçlı yazılım, sürekli çalışma için çıkarılan yürütülebilir dosyayı kasıtlı olarak korurken, başlangıç indirme izlerini kaldıran temizleme mekanizmaları içerir.
Bu kampanya, WordPress tabanlı kötü amaçlı yazılım dağıtım sistemlerinin artan karmaşıklığını vurgulamaktadır ve geleneksel imza tabanlı algılama yöntemlerinin ötesinde kapsamlı güvenlik izlemeye yönelik kritik ihtiyacı vurgulamaktadır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi