狡猾的WordPress惡意軟件將自己偽裝成常規(guī)代碼

網(wǎng)絡(luò)安全專家已經(jīng)確定了一種偽裝WordPress安全威脅的新方法，該方法涉及使用看起來合法的代碼動(dòng)態(tài)生成惡意軟件。在一篇博客文章中，Wordfence的 WordPress 安全專家 Ned Andonov分享了有關(guān)簡(jiǎn)單但有效的混淆技術(shù)的詳細(xì)信息，由于其獨(dú)特的特性，它不攜帶任何常見的可檢測(cè)模式。

“代碼抽象看起來幾乎完美，每個(gè)類方法都有很好的注釋，業(yè)務(wù)邏輯看起來很合理，代碼遵循最新的代碼質(zhì)量標(biāo)準(zhǔn)，”安多諾夫?qū)懙馈?/p>

事實(shí)上，安東諾夫承認(rèn)，惡意軟件生成代碼編寫得非常好，需要經(jīng)驗(yàn)豐富的安全分析師才能注意到任何可疑之處。

分解代碼，安多諾夫說，雖然許多方法看起來合法，但首先讓他感到奇怪的是$indicies變量。

“這個(gè)函數(shù)實(shí)際上是使用一個(gè)標(biāo)準(zhǔn)的 for 循環(huán)來生成常用的可疑函數(shù)，同時(shí)逃避檢測(cè)，是代碼中最明顯混淆的部分，”Andonov 寫道。

這還不是全部。該代碼還從 PNG 圖像中提取壓縮的惡意軟件。

Andonov 認(rèn)為該惡意軟件是專業(yè)編寫的，包含“一系列遠(yuǎn)程命令，包括代碼執(zhí)行、更新和文件訪問”。

在分析攻擊者所用技術(shù)的心理基礎(chǔ)時(shí)，他引用了諾貝爾獎(jiǎng)獲得者精神病學(xué)家 Daniel Kahneman 的工作，得出的結(jié)論是，對(duì)代碼的常規(guī)凝視不會(huì)使沒有經(jīng)驗(yàn)的分析師的傳感器跳閘，他沒有理由懷疑代碼值得仔細(xì)研究。

“正如 Kahneman 所說，在分析可疑的惡意軟件時(shí)，分析師也可以很好地保持他們的系統(tǒng) 2 的思維，”安多諾夫總結(jié)道。

Mayank Sharma 在 Linux 上有近 20 年的寫作和報(bào)告經(jīng)驗(yàn)，他希望每個(gè)人都認(rèn)為他是TechRadar Pro在該主題上的專家。當(dāng)然，他對(duì)其他計(jì)算主題也同樣感興趣，尤其是網(wǎng)絡(luò)安全、云、容器和編碼。