YODA工具发现约47000个恶意WordPress插件

YODA工具发现约47000个恶意WordPress插件

在 24,931 个独特的网站上发现了多达 47,337 个恶意插件,其中 3,685 个插件在合法市场上出售,使攻击者获得了 41,500 美元的非法收入。

根据佐治亚理工学院的一组研究人员进行的一项为期 8 年的研究,这些发现来自一个名为YODA的新工具,该工具旨在检测流氓 WordPress 插件并追踪其来源。

“攻击者冒充良性插件作者并通过分发盗版插件传播恶意软件,”研究人员在一篇题为“你必须不信任插件”的新论文中

“这些年来,网站上的恶意插件数量稳步增加,恶意活动在 2020 年 3 月达到顶峰。令人震惊的是,这 8 年来安装的恶意插件中有 94% 至今仍处于活动状态。”

YODA工具发现约47000个恶意WordPress插件

这项大规模研究需要分析自 2012 年以来安装在 410,122 台独特的 Web 服务器中的 WordPress 插件,发现总价值 834,000 美元的插件在部署后被威胁参与者感染。

YODA 可以直接集成到网站和网络服务器托管提供商中,也可以通过插件市场进行部署。除了检测隐藏和恶意软件操纵的附加组件外,该框架还可用于识别插件的出处及其所有权。

它通过对服务器端代码文件和相关元数据(例如,评论)进行分析以检测插件,然后进行句法和语义分析以标记恶意行为来实现这一点。

语义模型考虑了广泛的危险信号,包括 Web shell、插入新帖子的功能、受密码保护的注入代码执行、垃圾邮件、代码混淆、blackout  SEO、恶意软件下载器、恶意广告和加密货币矿工。

一些值得注意的发现如下:

  • 合法插件市场中提供的 3,452 个插件促进了垃圾邮件注入
  • 在 18,034 个网站上部署后感染了 40,533 个插件
  • 破解插件——被篡改以在服务器上下载恶意代码的 WordPress 插件或主题——占恶意插件总数的 8,525 个,其中大约 75% 的盗版插件欺骗了开发人员,损失了 228,000 美元的收入

研究人员指出:“使用 YODA,网站所有者和托管服务提供商可以识别网络服务器上的恶意插件;插件开发人员和市场可以在分发之前审查他们的插件。”

YODA工具下载地址:

GitHub:

https://github.com/CyFI-Lab-Public/YODA

云中转网盘:

yunzhongzhuan.com/#sharefile=P16QRnAk_54102
解压密码:www.ddosi.org

论文下载地址:

sec22summer_kasturi.pdf

网盘

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。