0x00事件背景
Catalin Cimpanu发现几起针对WordPress站点的攻击,主要经过加载恶意脚本进行键盘记录,挖矿或者挂载广告。而且有证据代表,这种攻击从4月份活跃至今。360CERT对该事件进行了跟进分析。javascript
0x01 事件描述
原由是WordPress被注入了一个混淆的js脚本。从主题的function.php文件进行植入。加载的js脚本地址为:php
其中reconnecting-websocket.js用做websocket通讯,cors.js中包含后门。Cors.js更改前端页面,释放javascript脚本进行输入监听,以后将数据发送给工具者(wss://cloudflare[.]solutions:8085/)。前端
0x02攻击脚本分析
用户WordPress首页底部有两个JS,第一个用来作websocket通讯。后门核心文件http://cloudflare[.]solutions/ajax/libs/cors/cors.js。其中cors.js有混淆,简单处理后获得攻击脚本:java
攻击脚本会首先调用linter(),其中有对linterkey1,linterkey2的解码。web
https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中,域名cdnjs.cloudflare.com是不存在的,根据代码逻辑,有用的部分应为?后的内容:ajax
解密出:微信
逻辑很好理解,监听blur事件(输入框失去焦点) 经过websocket发送用户input内容。websocket
最后,窗口加载后执行addyandexmetrix()。该函数是一个相似cnzz,作访问统计的js,具体用法:cors
https://yandex.com/support/metrica/code/counter-initialize.xmlsocket
0x03 攻击影响
查看cloudflare[.]solutionsDNS请求记录:
能够看到,在6月份有一个峰值。而且在近期,攻击趋势陡然上升。如下是今天,截至写稿时的请求记录:
能够看到,今天时,该攻击已经激化。
对页面进行检索,发现全球有近五千多站点被感染:
如下受感染的部分域名:
0x04 缓解措施
检查页面源代码中是否有向cloudflare[.]solutions的JS请求,经过这种方法进行自检。
恶意的JS是经过WordPress主题的function.php文件进行植入。请当即删除文件中,页面渲染恶意JS的部分。此时,密码颇有可能已经被偷取,请及时更改密码。
0x05 IOCs
资源请求:
hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js
hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js
数据接收:
wss://cloudflare[.]solutions:8085/
0x06 时间线
2017年12月7日 Catalin Cimpanu事件披露
2017年12月8日 360CERT及时跟进,发布预警
0x07 参考连接
https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/
长按下方二维码关注360CERT!谢谢你的关注!
网站地址:https://cert.360.cn
注:360CERT官方网站提供《Wordpress Keylogger事件分析》完整详情,点击Read more
本文分享自微信公众号 - 三六零CERT(CERT-360)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。