Bir web sitesi için yönetim hesabı oluşturabilen gelişmiş kötü amaçlı yazılım, orijinal görünümlü bir WordPress önbellek eklentisinin arkasında gizleniyor ve tehdit aktörlerine virüslü web sitelerini istedikleri zaman tamamen ele geçirmeleri için bir yol sunuyor.
Wordfence araştırmacıları, 11 Ekim’de yayınladıkları bir blog gönderisinde, WordPress platformu için yasal bir eklenti yazılımı gibi görünerek çeşitli kötü amaçlı görevleri yerine getirebilen eklentiyi keşfettiklerini açıkladılar. Bu etkinliklerin en önemlisi, bir yönetici hesabı oluşturma yeteneğidir. ve eklentileri uzaktan etkinleştirin; temel olarak tehdit aktörlerine virüslü siteler üzerinde tam kontrol sağlar.
Arka kapı, hem bağımsız bir komut dosyası olarak hem de bir eklenti olarak çalışabilir; uzaktan eklenti aktivasyonu ve koşullu içerik filtreleme gibi özellikler, deneyimsiz kullanıcıların tespit etmesini zorlaştıran kaçırma yetenekleri sağlar.
Diğer özellikler arasında, kötü amaçlı yazılımın etkinleştirilmiş eklentiler listesine dahil edilmesini önlemek için filtre ekleme yeteneği, kötü niyetli bir aktörün komut dosyasının hala çalışır durumda olup olmadığını kontrol etmesine olanak tanıyan ping işlevi ve dosya değiştirme yetenekleri yer alır. Wotschka ayrıca, arka kapının isteğe bağlı eklentileri uzaktan etkinleştirip devre dışı bırakabildiğini, bunun da “istenmeyen eklentileri devre dışı bırakmak ve gerektiğinde bu kötü amaçlı eklentiyi etkinleştirmek için yararlı olduğunu” yazdı.
Wordfence güvenlik açığı araştırmacısı Marco Wotschka, gönderisinde “Kötü amaçlı dosya WordPress bağlamında bir eklenti olarak çalıştığından, tıpkı diğer eklentilerin yaptığı gibi normal WordPress işlevlerine erişimi var” diye yazdı. “Birlikte ele alındığında, bu özellikler, saldırganlara, sitenin kendi SEO sıralaması ve kullanıcı gizliliği pahasına, kurban bir siteyi uzaktan kontrol etmek ve para kazanmak için ihtiyaç duydukları her şeyi sağlıyor.”
Bir Wordfence analisti, 18 Temmuz’da site temizliği sırasında kötü amaçlı yazılımın bir örneğini keşfetti ve ertesi gün bir imza oluşturdu; bu daha sonra test edildi ve 1 Eylül’de Wordfence müşterilerine sunuldu.
Kötü Amaçlı Eklenti: Gizli Ama Tespit Edilebilen Bir Kötü Amaçlı Yazılım Düşmanı
Araştırmacılar, mevcut site yöneticileri veya kullanıcıları arasında şüphe uyandırması muhtemel özellikler de dahil olmak üzere, kötü amaçlı eklentinin bazı temel işlevlerini analiz etti.
Bunlardan biri, bir saldırganı web sitesi yöneticisi olarak ayarlamak amacıyla superadmin kullanıcı adı ve sabit kodlu bir parola ile yeni bir kullanıcı hesabı oluşturmak için wp_create_user işlevini kullanmaktır. Wordfence’e göre bu hesap, izleri kaldırmanın ve dolayısıyla tespit değişikliklerini azaltmanın bir yolu olarak bir kurbanın güvenliği başarılı bir şekilde ele geçirildiğinde kaldırılıyor.
Wotschka, “Test kodunda sıklıkla görülse de, sabit kodlanmış parolalarla kullanıcı oluşturmanın bir tehlike işareti olarak görülmesi gerekir ve bu kullanıcının yönetici konumuna yükseltilmesi kesinlikle şüphe için yeterli bir nedendir” diye yazdı.
Kötü amaçlı eklenti ayrıca, bazı kullanıcılara normal içerik sunan, diğerlerine ise kötü amaçlı içerik yönlendiren veya sunan bir web sitesindeki kötü amaçlı yazılımlarda sıklıkla bulunan bot algılama kodunu da içerir.
Wotschka, “Bu bulaşma senaryolarının paylaştığı ortak noktalardan biri, site sahiplerinin sitelerinin kendilerine iyi göründüğünü düşünmeleri, ancak ziyaretçilerinin spam görme veya şüpheli sitelere yönlendirilme gibi sorunlar bildirmesidir.” diye açıkladı.
Ayrıca, bu tür kötü amaçlı yazılımlar, arama motorlarının kötü amaçlı içeriği bulmasını istediğinden, genellikle bir siteyi dizine eklerken onlara sunulur, dedi. Tehdit aktörleri, virüslü sitelere gönderilen trafiği artırmaya yardımcı olmak için anahtar kelime doldurmayı kullanıyor; yöneticiler, siteleri bir enfeksiyondan etkilendiğinde site trafiğinde genellikle ani, beklenmedik bir artış olduğunu bildiriyor.
Wotschka, bot tespit kodunun varlığının tek başına bir web sitesinde kötü amaçlı aktivitenin mevcut olduğunu doğrulamak için yeterli olmasa da şüpheli aktivite olarak öne çıktığını ekledi.
WordPress Sitelerinin Güvenliğini Sağlama
Eklentiler, WordPress ve onun üzerinde kurulu milyonlarca site için açıkta kalan ve oldukça büyük bir saldırı yüzeyi olmaya devam ediyor; bu da kalıcı bir tehdit olmaya devam eden yaygın bir sorun. Tehdit aktörleri WordPress sitelerini hem kötü niyetli hem de savunmasız eklentiler aracılığıyla hedef aldı; her iki sorun da genellikle bir web sitesi aktif saldırı altında olana kadar site operatörleri tarafından fark edilmiyor.
Genel olarak, WordPress kullanarak web sitesi oluşturan herkes, sitelerin mümkün olduğu kadar korunmasını sağlamak için siteleri nasıl yapılandıracakları konusunda en iyi güvenlik uygulamalarını izlemelidir. Wordfence şunu tavsiye etti:Ayrıca, bu uygulamaları izledikten sonra bile herhangi bir uzlaşma durumunda sitede bir tür güvenlik izleme sistemi de bulunmalıdır.