CyberNews最近刊載了一篇文章，較為詳細(xì)地披露了一項(xiàng)針對(duì)WordPress的惡意軟件注入活動(dòng)“Balada”，該活動(dòng)已經(jīng)滲透了超過(guò)100萬(wàn)個(gè)網(wǎng)站。

2023 年 4 月，Bleeping Computer 和 TechRadar 等科技媒體開(kāi)始報(bào)道網(wǎng)絡(luò)攻擊者利用漏洞攻擊了WordPress，通過(guò)通過(guò)流行插件 Elementor Pro Premium（網(wǎng)頁(yè)生成器）和 WooCommerce（在線店面）組合獲得訪問(wèn)權(quán)限。

據(jù)悉，該漏洞的CVSS 分?jǐn)?shù)達(dá)到了8.8分，但到 2023 年 5 月，官方 CVE 編號(hào)仍未確定。建議運(yùn)行 Elementor Pro 3.11.6 或更早版本以及激活WooCommerce 插件的網(wǎng)站將 ElementorPro 至少升級(jí)到 3.11.7，否則面臨認(rèn)證用戶(hù)通過(guò)利用受損的訪問(wèn)控制實(shí)現(xiàn)對(duì)網(wǎng)站完全控制的風(fēng)險(xiǎn)，這也是 OWASP 十大風(fēng)險(xiǎn)中最嚴(yán)重的風(fēng)險(xiǎn)。

雖然有關(guān)此漏洞的報(bào)告已在互聯(lián)網(wǎng)上廣泛傳播，但本文將重點(diǎn)關(guān)注廣泛且高度持久的惡意軟件注入活動(dòng)“Balada”。

什么是Balada

網(wǎng)絡(luò)安全公司 Sucuri 自 2017 年以來(lái)一直在跟蹤 Balada注入活動(dòng)，但直到最近才給這個(gè)長(zhǎng)期運(yùn)行的活動(dòng)命名。 Balada 通常利用已知但未修補(bǔ)的WordPress插件和其他軟件漏洞等方式實(shí)現(xiàn)初始感染，然后通過(guò)執(zhí)行一系列編排好的攻擊策略、跨網(wǎng)站感染和安裝后門(mén)來(lái)傳播并保持持久性。

由于Elementor Pro 和 WooCommerce 妥協(xié)路徑允許經(jīng)過(guò)身份驗(yàn)證的用戶(hù)修改 WordPress 配置，創(chuàng)建管理員帳戶(hù)或?qū)?URL 重定向注入網(wǎng)站頁(yè)面或帖子，Balada可以竊取數(shù)據(jù)庫(kù)憑據(jù)、存檔文件、日志數(shù)據(jù)或未得到充分保護(hù)的有價(jià)值文檔，同時(shí)建立大量命令和控制 (C2) 通道以實(shí)現(xiàn)持久性。

Sucuri指出，Balada 注入活動(dòng)遵循一個(gè)確定的月度時(shí)間表，通常在周末開(kāi)始，在周中左右結(jié)束。

Balada 主要利用基于 Linux 的主機(jī)，但基于 Microsoft 的 Web 服務(wù)器（如 IIS）也不能幸免。Balada 遵循其他當(dāng)代惡意軟件活動(dòng)中的做法，利用由隨機(jī)、不相關(guān)的詞組成的新注冊(cè)域來(lái)吸引受害者點(diǎn)擊并將其重定向到提供惡意負(fù)載的網(wǎng)站。

這些網(wǎng)站通常會(huì)以虛假的IT支持服務(wù)、現(xiàn)金獎(jiǎng)勵(lì)通知、甚至像CAPTCHAs這樣的安全驗(yàn)證服務(wù)為幌子。圖一總結(jié)了Balada將尋求利用的初始攻擊載體、試圖濫用的服務(wù)或插件以及一些公認(rèn)的持久性載體。巴拉達(dá)一旦植入，將很難移除。

圖一：針對(duì) WordPress CMS 的基本 Balada 注入工作流程和功能

識(shí)別 Balada 注入

Sucuri 的研究進(jìn)一步證實(shí)，Balada 的主要惡意軟件例程通常位于受感染設(shè)備上的“ C:/Users/host/Desktop/balada/client/main.go”路徑。一個(gè)半維護(hù)的Virus Total集合突出顯示了與 Balada 提供的惡意軟件及其感染相關(guān)的常見(jiàn)文件哈希、URL 和其他指標(biāo)。

Sucuri還在被入侵的機(jī)器日志中反復(fù)觀察到，從2020年底開(kāi)始，Balada利用一個(gè)過(guò)時(shí)但反復(fù)出現(xiàn)的用戶(hù)代理 "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"。自 2017 年以來(lái)，Balada 活動(dòng)已與 100 多個(gè)獨(dú)特域相關(guān)聯(lián)。Balada 利用“ main.ex_domains ”功能來(lái)存儲(chǔ)和重用域，以便在每月的感染活動(dòng)中進(jìn)行未來(lái)攻擊。圖二的列表突出顯示了在最近分析的Balada注入活動(dòng)中觀察到的一小部分常見(jiàn)域。

圖二：Balada注入活動(dòng)中觀察到的一小部分常見(jiàn)域

防御措施

對(duì)于預(yù)防 Balada 感染，除了確保網(wǎng)絡(luò)服務(wù)器主機(jī)、網(wǎng)站插件、主題或相關(guān)軟件保持最新?tīng)顟B(tài)，還應(yīng)該通過(guò) Cisco Umbrella 或 DNSFilter 等解決方案確保DNS 安全可靠。這些功能可以提供網(wǎng)絡(luò)級(jí)或漫游客戶(hù)端解決方案，以識(shí)別、阻止重定向嘗試和已知惡意網(wǎng)站的DNS請(qǐng)求。

企業(yè)還應(yīng)該執(zhí)行強(qiáng)密碼政策，特權(quán)用戶(hù)必須滿(mǎn)足多因素認(rèn)證或其他有條件的訪問(wèn)政策，創(chuàng)建特權(quán)賬戶(hù)應(yīng)向有關(guān)團(tuán)隊(duì)發(fā)出提醒。此外企業(yè)還應(yīng)考慮實(shí)施或定期評(píng)估以下內(nèi)容：

• 定期審核 Web 應(yīng)用程序必要的插件、主題或軟件，刪除所有不必要或未使用的軟件。
• 針對(duì) Web 應(yīng)用程序進(jìn)行內(nèi)部和常規(guī)滲透測(cè)試或類(lèi)似評(píng)估，以在 Balada 之前識(shí)別可利用的弱點(diǎn)。
• 對(duì)關(guān)鍵系統(tǒng)文件啟用文件完整性監(jiān)控 (FIM)。
• 嚴(yán)格限制對(duì) wp-config、網(wǎng)站備份數(shù)據(jù)、日志文件或數(shù)據(jù)庫(kù)存檔等敏感文件的訪問(wèn)，并確保數(shù)據(jù)保留策略在不再需要時(shí)清除此數(shù)據(jù)的舊版本。
• 禁用不必要的或不安全的服務(wù)器服務(wù)和協(xié)議，如 FTP。