许多个人网站和中小企业网站都喜欢使用内容管理系统(Content Management Systems,CMS)来快速开发和部署,这里面最有名的可能要属WordPress(据统计,全世界超过 37% 的网站使用了WordPress,而在所有使用CMS建站的网站中,更是超过63%的网站使用WordPress,小编年轻的时候也用过)。除了WordPress本身经常爆出一些安全漏洞以外,它家的生态系统中也存在很多问题,其中一个比较严重的问题就是大量第三方插件的安全性往往得不到保证。今天我们要推荐的USENIX Security 2022论文——Mistrust Plugins You Must: A Large-Scale Study Of Malicious Plugins In WordPress Marketplaces 就针对市场上各类WordPress插件的安全性进行了深入分析
来自佐治亚理工的研究人开发了一款名为YODA的WordPress插件代码静态分析工具;利用YODA的自动化分析能力,以及同知名的网站备份服务提供商——CodeGuard的合作,作者对超过24000个使用WordPress和相关插件进行部署的网站开展了深度扫描,发现了47337个恶意插件的存在!更为可怕的是,这其中有3685个插件居然是从正规的插件市场上购买的!除此之外,本文的研究工作还在时间尺度上进行了评估,对过去8年里面这些网站的安全性进行了分析,并发现有94%的恶意插件是持续使用至今的!
作者首先展示了一下人文社科功底,统计了一下WordPress插件交易市场的繁荣程度:
在繁华的背后(这种句式开头在过去往往用于形容国民党政权统治下的腐败的“首都”或“陪都”,同时我们还从作者那里学了一个用法叫做“Perilous Economy”),往往有两类比较严重的问题:第一类是很多收费插件会被盗版,而这些被盗版的插件可能在被非法复制和分发的过程中就直接被植入了恶意代码;第二类是很多收费插件“黑白通吃”,既要收你的费,同时也要做一些坏事。
YODA通过对插件元数据(WordPress要求插件必须要包含特定格式的header,否则不予加载)进行分析,来检测网站使用了哪些相关插件;在确定了使用的插件之后,YODA将插件的代码进行分析并提取抽象语法树(AST),然后YODA开展了相关的API识别和数据流分析,通过下表中定义的特定source-to-sink模型,来识别诸如webshell、cryptominer等恶意插件行为。更具体的识别细节,请参考论文的3.2章
作者对超过40万个使用了WordPress的站点进行了分析,数据集主要是通过CodeGuard的备份服务建立的。这些数据集不仅覆盖了大量站点,还在时间尺度上进行了覆盖——包含了8年前(2012年)直至论文写作时(2021年)的记录。
作者对数据集里面的恶意插件进行了详细的分析(下表),其中,在410122个扫描的网站数据中,发现了24931个网站使用了恶意插件,每个类别的分布可在表中查阅,其中数目最多的是webshell类恶意插件(呃……虽然技术古老但是很凶残啊)。同时,作者还发现恶意插件还会感染其它的正常插件,把它们也变成恶意的。同时作者发现了一个“有趣”的事实,那就是恶意插件感染率在2020年3月达到了顶峰,而这正是WTO宣布新冠的全球大流行(pandemic)的时候,看来物理隔离也会对网络犯罪起到推波助澜的作用啊。。。比较有意思的是,在所有恶意插件中,恶意挖矿插件的数目相对来说很少(只有4例),看起来犯罪集团还没跟上新时代的步伐。
在分析完恶意插件的感染情况后,作者继续分析了这些插件背后的市场行为。分析结果表明,网站维护人员在购买插件上投入不菲,在所有这些感染的插件背后,是网站维护者花费了超过80万美元进行的付费购买。
除了从知名的插件市场购买,很多网站维护人员也会直接在网上下载(所谓的nulled marketplace)插件,从这些地方下载插件,可能存在比较高的风险,有些网站上提供的几乎全是恶意插件:
作者还分析了网站“复阳”的情况——很多网站维护者可能发现自己使用了恶意插件,进行了清理,然后出于一些其他原因重新感染了……
最后,作者对恶意插件的存在时间进行了跟踪,发现很多恶意插件起码持续存在了超过100天以上,特别是超过25%的Injected类型的恶意插件至少存活了500天以上!网站管理员可能根本没注意到这种威胁!
读完本文,你是不是要赶紧去检查一下自己网站上的WordPress(或者换成Octopress/Hexo)呢?
YODA源码:
https://github.com/CyFI-Lab-Public/YODA
论文PDF:
https://www.usenix.org/system/files/sec22summer_kasturi.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-07-05
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论