WordPress小心!Balada Injector惡意軟體造成嚴重威脅
編譯/陳佩君
網路安全公司Sucuri自2017年以來一直追蹤Balada Injector活動,且2023年4月Bleeping Computer和TechRadar等其他科技媒體開始報導有關駭客成功駭入WordPress網站的報導。他們能夠通過熱門的外掛程式Elementor Pro Premium(網頁建立工具)和WooCommerce(網上商店)的結合來獲取存取權限,這個公開漏洞被評定為高危險性8.8的CVSS分數,讓WordPress管理員和網路安全團隊非常擔心。而截至2023年5月,尚未正式確定官方的漏洞標準化名稱(Common Vulnerabilities and Exposures,CVE)設定。建議使用 Elementor Pro 3.11.6或更早版本並啟用WooCommerce外掛程式的網站升級至 Elementor Pro至少3.11.7,否則面臨身份驗證用戶,例如一般電子商務客戶,其利用漏洞實現對網站的完全控制的風險及毀壞訪問控制,而其被開放式網路應用程式安全組織(Open Web Application Security Project,OWASP)評定的十大風險中最嚴重的。
該文章關注在廣泛且高度持久的惡意軟體—Balada,此惡意軟體主要利用 Go語言編寫的函數,通過未修補的WordPress外掛程式(如Elementor Pro、WooCommerce 和其他幾個 WordPress 外掛程式)中的弱點、主題布景或其他軟體漏洞實現初始感染,且影響超過 100 萬個網站。Balada嘗試通過執行一系列排練攻擊、跨站點感染和安裝後門程式來傳播並保持持久性。其用來收集資料庫憑證、存檔文件、日誌資料或未充分保護的有價值的文件檔案,同時建立大量命令和控制C2(Command and Control)通道保持持久性的攻擊。其有時間表進行攻擊,以周末開始至周中結束。Balada喜歡利用以Linux系統的主機,但Microsoft的網路伺服器也不能倖免,也利用由隨機、不相關的詞組成的新註冊網域來吸引用戶點擊並重新導向到提供惡意負載的網站,該網站通常會偽裝成虛假的IT服務、現金獎勵通知、驗證碼等安全驗證服務,且Balada一旦植入就很難移除。
在Sucuri研究證實,Balada的主要惡意軟體歷程常位於受感染設備路徑為「C:/Users/host/Desktop/balada/client/main.go」,還利用過時但反覆出現的使用者代理(User Agent)「Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36」,並利用「main.ex_domains」功能存儲和再利用域名(Reused Domain),以利在每月成功感染或遭受破壞時發動攻擊。
文中並提供建議來預防Balada感染或確定何時可能發生感染,確保網路伺服器主機、網站外掛程式、主題或相關軟體保持最新狀態或通過Cisco Umbrella 或DNSFilter等解決方案確保可靠的網域名稱(Domain Name System,DNS)安全等。這些功能是為了提供客戶端解決方案,方便識別並阻止對已知惡意網站的重新導向嘗試和DNS請求,並應設置有高複雜性及16個以上字符等強密碼策略,權限用戶必須滿足多因子身份驗證或其他條件訪問策略,並且創建特別權限帳戶向適當的團隊發出警報,如通過美國 CISA、MS-ISAC 或其他知名威脅情報服務訂閱安全警報,了解關鍵軟體和系統漏洞等。因此,提高對相關知識的認識,與對惡意軟體的警覺,才能保護我們在網路上免受個人隱私的威脅。
資料來源:Cybernews
瀏覽 1,204 次