研究人員在2.4萬網(wǎng)站發(fā)現(xiàn)4.7萬WordPress惡意插件。

佐治亞理工學(xué)院(Georgia Institute of Technology)研究人員經(jīng)過8年的持續(xù)研究，開發(fā)了一個(gè)可以自動(dòng)化檢測(cè)惡意WordPress插件和追蹤插件源的工具。研究人員利用YODA工具對(duì)24931個(gè)網(wǎng)站進(jìn)行了檢測(cè)，發(fā)現(xiàn)了47337個(gè)惡意插件。研究人員通知了相關(guān)插件的開發(fā)人員，但仍有94%的惡意插件未被修復(fù)。

YODA

YODA包含4個(gè)部分：

插件檢測(cè)：YODA可以通過識(shí)別插件的源和該插件相關(guān)的文件來檢測(cè)所有的web服務(wù)器插件。

惡意行為檢測(cè)：YODA使用插件代碼文件中的文件元數(shù)據(jù)、敏感API等句法特征和環(huán)境相關(guān)的語義特征來識(shí)別惡意行為。句法分析使用數(shù)據(jù)流來識(shí)別插件代碼文件中使用的可疑API。語義模型主要考慮web shell、注入代碼的受保護(hù)執(zhí)行、垃圾郵件、代碼混淆、惡意軟件下載、惡意軟件廣告、加密貨幣挖礦等。

惡意插件源分析：確定惡意行為的源，更好地理解CMS生態(tài)中不同的攻擊者入口。惡意插件行為主要來源于無效插件市場(chǎng)、合法插件市場(chǎng)、被注入的插件、受感染的插件。

影響研究：為研究惡意插件對(duì)插件市場(chǎng)的影響，YODA提出了與每個(gè)插件相關(guān)的影響度量。

插件檢測(cè)結(jié)果

惡意行為檢測(cè)結(jié)果

YODA可以部署到網(wǎng)站和web服務(wù)器提供商中。除了檢測(cè)隱藏的惡意插件外，該框架也可以用來識(shí)別插件的出處和所有權(quán)。

研究人員分析了2012年以來的超過40萬個(gè)web 服務(wù)器中的WordPress插件，其中24931個(gè)網(wǎng)站中安裝的插件中有47337個(gè)插件是惡意的。超過安裝超過8年的惡意插件中有94%至今仍在使用。

通過使用YODA，網(wǎng)站所有者和服務(wù)提供商可以識(shí)別web服務(wù)器中的惡意插件，插件開發(fā)者和插件市場(chǎng)也可以在分發(fā)插件之前對(duì)其插件的安全性進(jìn)行審查評(píng)估。

相關(guān)研究成果被安全頂會(huì)Usenix security 2022安全大會(huì)錄用，論文下載地址：https://cyfi.ece.gatech.edu/publications/SEC_22.pdf。

YODA工具代碼地址：https://github.com/CyFI-Lab-Public/YODA。

本文翻譯自：https://thehackernews.com/2022/06/yoda-tool-found-47000-malicious.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。