近年来,网络安全领域中复杂的恶意软件活动显著增多。“DollyWay” 就是其中一项活动,这是一场持续已久的攻击行动,已经攻陷了全球超过 2 万个 WordPress 网站。
这项行动因其在维持对受感染网站的控制方面采用的先进技术,以及其复杂的恶意软件注入方法而备受关注。
DollyWay 恶意软件主要针对 WordPress 网站,它利用一个被攻陷网站组成的网络,通过流量代理网络将访问者重定向到诈骗页面。
该行动与 VexTrio 有关,VexTrio 是一个主要的网络犯罪附属网络,以使用域名系统(DNS)技术和域名生成算法而闻名。
从历史上看,这场攻击行动曾包含勒索软件和银行木马等有效载荷,但现在主要专注于重定向攻击。
该恶意软件采用了一个四阶段的注入链来逃避检测。最初,它利用 WordPress 的wp_enqueue_script函数加载一个动态生成的脚本,该脚本包含一个作为网站标识符的 MD5 哈希值。
在后续阶段,它会动态加载收集来源信息的脚本,并注入流量导向系统(TDS)脚本。
这些脚本通常托管在被攻陷的网站上,其网址类似./wp-content/counts.php?cat=&t= 。
GoDaddy 的研究人员识别出了该恶意软件的复杂机制,包括数据传输的加密验证和自动重新感染过程。
DollyWay 还会更新 WordPress,并清除与之竞争的恶意软件,以维持对被攻陷网站的控制。
DollyWay 的基础设施
DollyWay v3 利用了一个由被攻陷的 WordPress 网站托管的分布式的命令与控制(C2)和流量导向系统(TDS)节点网络。
它使用类似wp-content/counts.php这样的文件将重定向脚本注入网站。这些节点充当中央指挥中心,为恶意软件提供最新的设置,并确保感染的持续性。
该恶意软件每天都会更新其节点列表,以便即使一些节点被关闭,也能保持攻击的有效性。
目前该列表包含 14 个节点,并且第三阶段的脚本会随机选择三个节点,以确保即使一些节点不可用,重定向攻击也能发生。
例如,第一阶段的注入模式包含一个独特的十六进制字符串:/?&ver=” id=”-js”>。
这种模式通过让恶意活动看起来很普通,来逃避静态分析。
该恶意软件还通过禁用安全插件,并在每次页面加载时重新安装自身来保持其在系统中的存在。
GoDaddy 的分析师指出,这种重新感染过程涉及对代码进行随机化处理以逃避检测,这使得在不使网站离线的情况下清除恶意软件变得极具挑战性。
这项攻击行动组织严密,旨在实现长期控制,并利用 VexTrio 附属网络将流量变现。
除了其复杂的重新感染机制外,DollyWay 还会向被攻陷的网站注入后门。
这些后门允许执行任意 PHP 代码,并且通过加密签名来验证数据完整性。
这些先进技术凸显了 DollyWay 攻击行动不断演变的特性,在近十年的时间里,它不断调整适应,以在不断发展的安全防护措施面前保持攻击的有效性。
DollyWay 攻击行动的持续性和复杂性强调了持续进行安全监控以及采取主动防护措施来保护 WordPress 网站免受此类威胁的重要性。
发表评论
您还未登录,请先登录。
登录