研究人员在 2.4 万网站发现 4.7 万 WordPress 恶意插件。
佐治亚理工学院(Georgia Institute of Technology)研究人员经过 8 年的持续研究,开发了一个可以自动化检测恶意 WordPress 插件和追踪插件源的工具。研究人员利用 YODA 工具对 24931 个网站进行了检测,发现了 47337 个恶意插件。研究人员通知了相关插件的开发人员,但仍有 94% 的恶意插件未被修复。
YODA
YODA 包含 4 个部分:
插件检测:YODA 可以通过识别插件的源和该插件相关的文件来检测所有的 web 服务器插件。
恶意行为检测:YODA 使用插件代码文件中的文件元数据、敏感 API 等句法特征和环境相关的语义特征来识别恶意行为。句法分析使用数据流来识别插件代码文件中使用的可疑 API。语义模型主要考虑 web shell、注入代码的受保护执行、垃圾邮件、代码混淆、恶意软件下载、恶意软件广告、加密货币挖矿等。
恶意插件源分析:确定恶意行为的源,更好地理解 CMS 生态中不同的攻击者入口。恶意插件行为主要来源于无效插件市场、合法插件市场、被注入的插件、受感染的插件。
影响研究:为研究恶意插件对插件市场的影响,YODA 提出了与每个插件相关的影响度量。
插件检测结果
恶意行为检测结果
YODA 可以部署到网站和 web 服务器提供商中。除了检测隐藏的恶意插件外,该框架也可以用来识别插件的出处和所有权。
研究人员分析了 2012 年以来的超过 40 万个 web 服务器中的 WordPress 插件,其中 24931 个网站中安装的插件中有 47337 个插件是恶意的。超过安装超过 8 年的恶意插件中有 94% 至今仍在使用。
通过使用 YODA,网站所有者和服务提供商可以识别 web 服务器中的恶意插件,插件开发者和插件市场也可以在分发插件之前对其插件的安全性进行审查评估。
相关研究成果被安全顶会 Usenix security 2022 安全大会录用,论文下载地址:https://cyfi.ece.gatech.edu/publications/SEC_22.pdf
YODA 工具代码地址:https://github.com/CyFI-Lab-Public/YODA
如若转载,请注明出处:https://www.ozabc.com/jianzhan/506614.html