0x00事件背景
Catalin Cimpanu發現幾起針對WordPress站點的攻擊,主要經過加載惡意腳本進行鍵盤記錄,挖礦或者掛載廣告。而且有證據代表,這種攻擊從4月份活躍至今。360CERT對該事件進行了跟進分析。javascript
0x01 事件描述
原由是WordPress被注入了一個混淆的js腳本。從主題的function.php文件進行植入。加載的js腳本地址爲:php
其中reconnecting-websocket.js用做websocket通訊,cors.js中包含後門。Cors.js更改前端頁面,釋放javascript腳本進行輸入監聽,以後將數據發送給工具者(wss://cloudflare[.]solutions:8085/)。前端
0x02攻擊腳本分析
用戶WordPress首頁底部有兩個JS,第一個用來作websocket通訊。後門核心文件http://cloudflare[.]solutions/ajax/libs/cors/cors.js。其中cors.js有混淆,簡單處理後獲得攻擊腳本:java
攻擊腳本會首先調用linter(),其中有對linterkey1,linterkey2的解碼。web
https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中,域名cdnjs.cloudflare.com是不存在的,根據代碼邏輯,有用的部分應爲?後的內容:ajax
解密出:微信
邏輯很好理解,監聽blur事件(輸入框失去焦點) 經過websocket發送用戶input內容。websocket
最後,窗口加載後執行addyandexmetrix()。該函數是一個相似cnzz,作訪問統計的js,具體用法:cors
https://yandex.com/support/metrica/code/counter-initialize.xmlsocket
0x03 攻擊影響
查看cloudflare[.]solutionsDNS請求記錄:
能夠看到,在6月份有一個峯值。而且在近期,攻擊趨勢陡然上升。如下是今天,截至寫稿時的請求記錄:
能夠看到,今天時,該攻擊已經激化。
對頁面進行檢索,發現全球有近五千多站點被感染:
如下受感染的部分域名:
0x04 緩解措施
檢查頁面源代碼中是否有向cloudflare[.]solutions的JS請求,經過這種方法進行自檢。
惡意的JS是經過WordPress主題的function.php文件進行植入。請當即刪除文件中,頁面渲染惡意JS的部分。此時,密碼頗有可能已經被偷取,請及時更改密碼。
0x05 IOCs
資源請求:
hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js
hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js
數據接收:
wss://cloudflare[.]solutions:8085/
0x06 時間線
2017年12月7日 Catalin Cimpanu事件披露
2017年12月8日 360CERT及時跟進,發佈預警
0x07 參考連接
https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/
長按下方二維碼關注360CERT!謝謝你的關注!
網站地址:https://cert.360.cn
注:360CERT官方網站提供《Wordpress Keylogger事件分析》完整詳情,點擊Read more
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。