1. 背景
现在,互联网上很多网站都是基于WordPress内容管理系统来开发的,安全问题也随之而来。研究人员发现,现在有大量的WordPress 网站会向网站访问者悄悄发送勒索软件,其中以TeslaCrypt 最为臭名昭著。
本文将通过网络流方式展现被恶意代码注入的wordpress网站的攻击方式。
用户访问受到感染的网站浏览被恶意代码注入的js页面,打开数据会话流。
从会话流分析出用户请求的JS页面最后写入加密后恶意JS代码。主要作用是将访问用户重定向到exploit服务器。通过分析总结代码特征以window[“x64x6f开始以join("");"));结束。
从referer字段看出从www.pdcmemphis.com重定向过来的。
响应数据内容发现Expolit漏洞利用代码使用了高度混淆的js代码来躲避IPS/WAF等产品检测。
AnglerEK发送经过加密TeslaCrypt payload使用户主机感染。
守望者实验室提醒用户及时更新Flash软件到最新版本。
欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。
原文始发于微信公众号(守望者实验室):流量安全分析:通过WordPress系统感染的网络勒索事件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论