Geleneksel güvenlik algılama mekanizmalarından kaçmak için PHP değişken işlevlerini ve çerez tabanlı gizlemeyi kullanan, WordPress sitelerini hedef alan karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Saldırı, tehdit aktörlerinin kötü amaçlı kodu birden çok HTTP çerezine böldüğü ve yürütülebilir işlevleri çalışma zamanında dinamik olarak yeniden oluşturduğu gizleme tekniklerinde bir evrimi temsil ediyor.
Bu yaklaşım, tüm çerez bileşenleri bir araya getirilip yürütülene kadar kötü niyetli niyet gizli kaldığından, statik analizi önemli ölçüde daha zorlu hale getirir.
Kötü amaçlı yazılım, yalnızca Eylül 2025’te 30.000’den fazla kez tespit edildi; bu da, yaygın dağıtımını ve savunmasız web sitelerine karşı sürekli etkinliğini gösteriyor.
Saldırı vektörü, özel hazırlanmış çerezler aracılığıyla komutları kabul eden arka kapı komut dosyalarını enjekte ederek öncelikle WordPress kurulumları başta olmak üzere PHP tabanlı web uygulamalarını hedefliyor.
Kötü amaçlı yüklerin tamamını dosyalara yerleştiren geleneksel kötü amaçlı yazılımların aksine, bu kampanya, işlev adlarını ve kodlanmış parametreleri numaralı çerez dizinlerine dağıtır.
Kötü amaçlı yazılım, konuşlandırıldıktan sonra etkinleştirilmeden önce belirli çerez yapılandırmalarını bekler ve saldırganların gerekli tüm bileşenleri içeren tam olarak yapılandırılmış istekler göndermesini gerektirir.
Bu koşullu yürütme iki amaca hizmet eder: uygun çerezler olmadan betiği tetikleyebilecek otomatik güvenlik taramalarından kaçınmak ve arka kapıyı keşfeden diğer kötü niyetli aktörlerin yetkisiz erişimini önlemek.
Wordfence araştırmacıları, rutin olay müdahale operasyonları sırasında bu kötü amaçlı yazılım ailesinin birden fazla varyantını tespit ederek, 4,4 milyondan fazla benzersiz kötü amaçlı imza içeren tehdit istihbaratı veri tabanlarına örnekler ekledi.
Tespit, geleneksel imza tabanlı taramanın başlangıçta yoğun şekilde gizlenmiş kodu işaretlemede zorlandığı, güvenliği ihlal edilmiş sitelerin analizi yoluyla gerçekleşti.
Analiz, bireysel değişkenlerin uygulama detaylarında farklılık göstermesine rağmen, yoğun gizleme, aşırı dizi aramaları ve saldırganlar için kimlik doğrulama mekanizmaları olarak görev yapan kasıtlı çerez doğrulama kontrolleri gibi temel özellikleri paylaştıklarını ortaya çıkardı.
Teknik Uygulama ve Kod Yürütme Zinciri
Kötü amaçlı yazılım, PHP’nin değişken işlev yeteneğinden yararlanan çok aşamalı bir yürütme zinciri yoluyla çalışır; burada herhangi bir değişkene parantez eklenmesi, PHP’nin değişkenin dize değeriyle eşleşen bir işlevi yürütmesine neden olur.
İncelenen örneklerde komut dosyası, $_COOKIE superglobal’i yerel bir değişkene dönüştürmek ve biri “array11” spesifik dizesini içeren tam olarak 11 çerezin mevcut olduğunu doğrulamak.
Kötü amaçlı yazılım daha sonra işlev adlarını yeniden oluşturmak için çerez değerlerini birleştirir; örneğin “base64_” ve “decode” içeren çerezleri birleştirerek tam kodu oluşturur. base64_decode işlev adı.
Yürütme zinciri karmaşık katmanlamayı gösterir: –
$locale[79] = $locale[79] . $locale[94];
$locale[23] = $locale[79]($locale[23]);Bu yeniden yapılandırır base64_decodeardından “create_function” üretmek için “Y3JlYXRlX2Z1bmN0aW9u” içeren başka bir çerezin kodunu çözer. Kötü amaçlı yazılım daha sonra şunu kullanır: create_function Rastgele yürütülebilir kod oluşturmak için saldırgan tarafından kontrol edilen parametrelerle.
Daha sonraki varyantlar, dize değiştirme tekniklerini kullanır; “basx649fxcofx” gibi gizlenmiş dizeleri, ‘x’, ‘f’ ve ‘9’ karakterlerini sırasıyla ‘e’, ’d’ ve ‘_’ ile değiştirerek “base64_decode”a dönüştürür.
Bu çok katmanlı yaklaşım, çerez parametreleri aracılığıyla iletilen serileştirilmiş veriler aracılığıyla tam uzaktan kod yürütme yeteneklerini korurken, kalıp eşleştirme tespitini ortadan kaldırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
