2015/02/28

WordPressのRevSliderプラグインを狙ったマルウェアSoakSoak

はじめに

昨年末より、WordPressのスライダープラグイン "RevSlider" に対して、SoakSoakというマルウェアでの攻撃が確認されているようです。

攻撃方法

攻撃者はまず、"revicons.eot" や "wp-config.php" のファイルが存在するか、アクセス可能であるかを確認するために、以下のようなリクエストを送信します。

 GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200
 GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202

ファイルの存在が確認できた場合、攻撃者は対象サイトに脆弱性のある Revslider が利用されていると判断し、Revslider の脆弱性を利用してファイルをアップロードしようとします。

 “POST /wp-admin/admin-ajax.php HTTP/1.1″ 200

この攻撃が成功した場合、/wp-content/plugins/revslider/temp/update_extract/revslider/update.php へアクセスする為に、 Filesman と呼ばれるバックドア(一度侵入に成功した攻撃者が、後から何度も侵入するために仕掛けておく秘密の入り口)が仕込まれます。

“GET /wp-content/plugins/revslider/temp/update_extract/revslider/update.php HTTP/1.1″ 200

そこから、攻撃者はswfobject.jsファイルを変更して2つ目のバックドアを仕込み、サイト訪問者をsoaksoak.ruへリダイレクトするマルウェアを注入します。

対策

対策としてはやはり基本的なことですが、以下のような手法が考えられます。

  • WordPress のバージョンアップ
  • プラグインのバージョンアップ
  • /wp-admin 配下のアクセス制限

参考

0 Comments:

コメントを投稿