При проведении недавней очистки скомпрометированного сайта на WordPress специалисты обнаружили два различных вредоносных файла, предназначенных для скрытого манипулирования учетными записями администраторов. Злоумышленники часто внедряют подобные бэкдоры для сохранения постоянного доступа к ресурсу, даже если другое вредоносное программное обеспечение будет обнаружено и удалено. Эти файлы были замаскированы под стандартные компоненты WordPress, однако их функциональность раскрывала истинные намерения.
Описание
Обнаруженные файлы сразу привлекли внимание исследователей. Первый файл, "./wp-content/plugins/DebugMaster/DebugMaster.php", пытался выдать себя за легитимный плагин под названием "DebugMaster Pro", но его содержимое было сильно запутано и явно носило вредоносный характер. Второй файл, "./wp-user.php", располагался в корневой директории сайта и маскировался под системный файл WordPress. Несмотря на более простую структуру, он представлял не меньшую угрозу.
Основной целью обоих скриптов было обеспечение постоянного доступа злоумышленников к административной панели WordPress. Сложный бэкдор "DebugMaster.php" создавал скрытую учетную запись администратора. Файл "wp-user.php" действовал более прямолинейно: он гарантировал, что конкретный пользователь с известным паролем и правами администратора всегда присутствует в системе. При попытке удалить эту учетную запись скрипт немедленно воссоздавал ее. В совокупности эти механизмы формировали устойчивую систему для сохранения контроля над сайтом, позволяя атакующим управлять контентом, внедрять спам, перенаправлять посетителей или похищать информацию.
Анализ кода "DebugMaster Pro" показал, что плагин, замаскированный под инструмент для разработчиков, содержал скрытые функции для создания администратора с жестко заданными учетными данными. Внутри файла был обнаружен код, который принудительно создавал нового пользователя с именем "help" и ролью администратора. Если такой пользователь уже существовал, скрипт гарантировал, что за ним закреплены права администратора. Чтобы оставаться незамеченным, плагин удалял себя из списка плагинов в панели управления и фильтровал пользовательские запросы, скрывая вновь созданную учетную запись.
Важной особенностью данного вредоносного программного обеспечения была его связь с командным сервером. После создания учетной записи бэкдор отправлял данные нового администратора на внешний сервер, контролируемый злоумышленниками. Информация о имени пользователя, пароле, электронной почте и IP-адресе сервера кодировалась в формат JSON, затем подвергалась кодированию Base64 и передавалась на удаленный эндпоинт. Адрес этого эндпоинта также был обфусцирован с помощью Base64 и расшифровывался в URL-адрес, похожий на "hxxps://kickstar-xbloom[.]info/collect[.]php". Это позволяло атакующим немедленно получать учетные данные для доступа. На момент обнаружения домен уже был заблокирован многими поставщиками систем безопасности, что подтверждается данными сервиса VirusTotal.
Дополнительная вредоносная функциональность включала внедрение внешнего кода на страницы сайта. Данные скрипты загружались для всех посетителей, за исключением администраторов и IP-адресов, явно внесенных в белый список самим вредоносным программным обеспечением. Этот код также занимался сбором и регистрацией IP-адресов администраторов сайта, что потенциально могло использоваться для дальнейших целевых атак.
Бэкдор "wp-user.php" реализовывал более простую, но эффективную логику. Скрипт, расположенный в корне сайта, проверял существующих пользователей WordPress. При обнаружении учетной записи с именем "help" он удалял ее и создавал заново с паролем, выбранным злоумышленниками. Если же пользователь не существовал, скрипт просто создавал новую учетную запись администратора "help". Эта логика гарантировала, что атакующие всегда будут иметь доступ, независимо от действий владельца сайта по удалению учетной записи или смене пароля. Даже при успешном удалении пользователя скрипт воссоздавал его при следующем выполнении.
Обнаружение подобных скрытых механизмов подчеркивает важность тщательного и регулярного аудита файловой системы WordPress, особенно после инцидентов безопасности. Владельцам сайтов рекомендуется проверять не только установленные плагины и темы, но и содержимое корневой директории на наличие подозрительных файлов, не входящих в стандартную поставку CMS. Кроме того, необходима проверка списка пользователей на предмет неизвестных учетных записей с административными привилегиями. Своевременное обнаружение и удаление таких бэкдоров является критически важным этапом полного восстановления контроля над веб-ресурсом после компрометации.
Индикаторы компрометации
URLs
- https://kickstar-xbloom.info/collect.php
Признаки
- Наличие любых неизвестных файлов или плагинов.
- Новые/скрытые пользователи с правами администратора.
- Неизвестные администраторы, воссозданные после их удаления.
Файлы
- ./wp-content/plugins/DebugMaster/DebugMaster.php
- ./wp-user.php
