首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

WordPress Captcha 插件后门事件 分析溯源报告

原文作者:云袭2001

更新时间:2017年12月21日

0x00 事件背景

近日,WordPress官方库删除了插件Captcha,该插件最初看起来是当前作者使用“WordPress”的商标问题。随后有人发现在WordPress Captcha官方插件中发现存在后门,导致用户在更新插件时被植入后门。

360CERT对该事件进行了分析和溯源,建议WordPress用户尽快排查。

0x01事件描述

近期,WordPress Captcha官方插件中被发现植入了恶意代码,该代码可以劫持用户对插件的更新。在被劫持的更新代码中发现一个后门:通过该后门任意用户可以以管理员的身份进入WordPress的管理后台,该后门只能被黑客使用一次。

该后门首次被发现于2017年12月4日的4.3.6版本中,相关地址如下:

https://plugins.trac.wordpress.org/changeset/1780758/captcha

0x02后门代码分析分析发现,在captcha.php文件中的cptch_wp_plugin_auto_update函数存在后门:

该函数主要用于对于插件进行版本更新。可以看到其中$wptuts_plugin_remote_path是一个simplywordpress.net下的php文件。请求该文件将会下载一个zip文件对该插件进行更新。

在该函数底部可以看到,当用户点击插件更新时,就会调用cptch_wp_plugin_auto_update函数。

跟入函数中的cptch_wp_auto_update,这是一个用来更新插件的类,位于

在cptch_wp_auto_update.php中:

在被构造初始化后调用cptch_check_update()方法进行跟新:

cptch_check_update()方法中对比插件版本后使用curl_exec请求了远程的zip文件,下载解压后使用activate_plugins()激活了插件。而curl_exec远程请求的地址正是刚刚cptch_wp_plugin_auto_update函数中传入的地址:

https://simplywordpress.net/captcha/captcha_pro_update.php

下载得到的zip文件中,经过对比发现在plugin-update.php文件中藏有后门代码:

后门会尝试使用unlink删除自身文件,导致了该后门只能被使用一次。然后用get_userdata(1)获取了管理员的信息。然后使用wp_clear_auth_cookie();和wp_set_current_user将自己身份设置为管理员,之后使用wp_safe_redirect跳转进入管理后台。

0x03分析溯源根据WordFence的分析过程,我们梳理了如下线索:

1、注册邮箱与注册人

该插件最先由BestWebSoft进行独立维护,但在2017年9月5日BestWebSoft公司声明有一个新的组织加入,该组织将主要负责免费版的插件,插件的增强版和专业版继续由BestWebSoft公司维护:

https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

通过查询simplywordpress.net域名的注册信息发现:

2、关联域名

通过其中一个域名(unsecuredloans4u.co.uk)网站底部有如下信息可以看出该网站属于“Soiza InternetMarketers Limited”并且是昆特集团有限公司的代表(Representative ofQuint Group Limited):

通过WordFence安全报告发现,上述公司是一个利用WordPress插件放置暗链做“黒帽SEO”公司。

同时分析发现simplywordpress.net和unsecuredloans4u.co.uk有紧密关系:通过DNS记录显示simplywordpress.net之前有一条A记录的查询是195.154.179.176,这正是unsecuredloans4u.co.uk的A记录。并且通过DNS的解析历史发现,simplywordpress.net在2017年10月A记录进行了一次变更,变更之前的IP正是unsecuredloans4u.co.uk现在的IP地址:

3、可以公司与注册人

通过查询“Serpable Ltd”公司的注册人可以发现是“Charlotte Ann Wellington”:

4、新域名与多个插件

回到simplywordpress.net站点,360 CERT于2017年12月20日13点访问该网站发现仍然可用:

并在网站中发现了该站点提供了多个WordPress的插件,与WordFence分析报告中提到的插件基本一致,经过360CERT重新整理,发现涉及到的插件主要有:

convert-popup

death-to-comments

Human Captcha(free) Human Captcha(pro)

smart-recaptcha

Social(free) Social(pro)

Social Exchange

上述6个插件与Captcha插件后门存在相同的手法:

该域名WordFence分析报告中发现的一致,注册人为:“StacyWellington”

同时195.154.179.176正是unsecuredloans4u.co.uk的地址:

5、背后可疑集团

到此可以发现Stacy 和Charlotte Ann Wellington两人均涉及到“Quint Ltd”。

通过搜索发现Stacy声明为Serpable公司工作,而“Serpable”公司正是属于“Ann Wellington”

查询“Charlotte Ann WELLINGTON”发现其拥有公司:

CODELABSGROUP LTD

LEADBRAIN LTD

SERPABLE LTD

相关信息如下:

https://beta.companieshouse.gov.uk/officers/iIMGxbZMjmfOUE-FLoktQUrBDWg/appointments

SERPABLE公司曾经在其网站上公开出售过暗链,镜像如下图:

同时在blackhatworld论坛中留下了出售暗链的信息:

通过检索、以及根据首页底部的介绍,发现以下网站同样属于SERPABLE公司:

至此,该集团与此次事件的情况基本梳理完成,360 CERT总结成了如下的关系图:

0x04事件影响WordPress官网显示,Captcha等插件的总激活使用量在300000以上。

通过对官方插件Timeline的查看,发现Captcha后门首次出现在12月4日的版本中:

官方于12月20日才发现并删除该后门。也就是说在12月4日至12月20日之间更新过该插件的用户均遭受影响。

通过WordFence的报告看出,受影响的版本为4.3.6 – 4.4.4。基于该插件拥有超过30万的用户量,360 CERT初步判断该后门事件影响广泛。

0x05缓解措施首先在插件目录下的plugin-update.php页面,同时其源代码中检查是否有如下代码:

如有发现请立即删除该文件。

同时在插件目录下的captcha.php页面源代码中检查是否有如下链接:

https://simplywordpress.net/captcha/captcha_pro_update.php

如果存在,千万不要在后台点击更新插件,而是将整个插件删除。

官方已于最新版的代码中删除了该后门,用户在手动删除文件后,可以重新安装最新版插件。

0x06 IOCs

资源请求:

https://simplywordpress.net/captcha/captcha_pro_update.php

http://simplywordpress.net/humancaptcha/human_cptch_pro_update.php

http://simplywordpress.net/social-exchange/social_free_update.php

http://simplywordpress.net/death-to-comments/dcmt_pro_update.php

http://simplywordpress.net/convert-popup/convert_popup_pro_update.php

域名/IP:

simplywordpress.net

unsecuredloans4u.co.uk

195.154.179.176

23.236.161.226

邮箱:

相关WordPress插件

convert-popup

death-to-comments

Human Captcha(free) Human Captcha(pro)

smart-recaptcha

Social(free) Social(pro)

Social Exchange

0x07时间线

2017年12月19日 Wordfence 事件披露

2017年12月20日 360CERT及时跟进,完成分析报告

2017年12月21日 360CERT对外发布预警

0x08参考链接https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

https://wordpress.org/support/topic/backdoor-2/

https://plugins.trac.wordpress.org/changeset/1780758/captcha

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171221G0VUBT00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券