流量安全分析:通过WordPress系统感染的网络勒索事件分析

admin 2022年7月21日18:58:57应急响应评论1 views519字阅读1分43秒阅读模式

1.    背景

现在,互联网上很多网站都是基于WordPress内容管理系统来开发的,安全问题也随之而来。研究人员发现,现在有大量的WordPress 网站会向网站访问者悄悄发送勒索软件,其中以TeslaCrypt 最为臭名昭著。

本文将通过网络流方式展现被恶意代码注入的wordpress网站的攻击方式。

用户访问受到感染的网站浏览被恶意代码注入的js页面,打开数据会话流。

流量安全分析:通过WordPress系统感染的网络勒索事件分析

流量安全分析:通过WordPress系统感染的网络勒索事件分析

流量安全分析:通过WordPress系统感染的网络勒索事件分析

从会话流分析出用户请求的JS页面最后写入加密后恶意JS代码。主要作用是将访问用户重定向到exploit服务器。通过分析总结代码特征以window[“x64x6f开始以join("");"));结束。

流量安全分析:通过WordPress系统感染的网络勒索事件分析

流量安全分析:通过WordPress系统感染的网络勒索事件分析

referer字段看出从www.pdcmemphis.com重定向过来的。

流量安全分析:通过WordPress系统感染的网络勒索事件分析

响应数据内容发现Expolit漏洞利用代码使用了高度混淆的js代码来躲避IPS/WAF等产品检测。

流量安全分析:通过WordPress系统感染的网络勒索事件分析

AnglerEK发送经过加密TeslaCrypt payload使用户主机感染。

守望者实验室提醒用户及时更新Flash软件到最新版本。





欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析:通过WordPress系统感染的网络勒索事件分析

原文始发于微信公众号(守望者实验室):流量安全分析:通过WordPress系统感染的网络勒索事件分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月21日18:58:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析:通过WordPress系统感染的网络勒索事件分析 http://cn-sec.com/archives/1104656.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: