Sucuriは6月22日(米国時間)、「Remote Code Execution Backdoor Uses Unicode Obfuscation & Non-Standard File Extensions」において、WordPressのバックドアに新しい難読化手法を発見したと伝えた。

  • Remote Code Execution Backdoor Uses Unicode Obfuscation & Non-Standard File Extensions

    Remote Code Execution Backdoor Uses Unicode Obfuscation & Non-Standard File Extensions

サイバー攻撃者は常にセキュリティソフトウェアの検出を回避する方法を模索し、新しい手法を試している。今回、過剰な量のユニコードと、あまり使われることのない拡張子のファイルを悪用する手法を発見したとしてその内容を報告した。

Sucuriは侵害されたWordPressの調査を進める過程で、一部のファイルに奇妙な特徴を発見したと説明。それぞれにバリエーションは異なっているものの、コードの中に大量のユニコードが混入していることを見つけたという。特に記号に該当するユニコードが多用されている。ただし、これらユニコードはすべてコメントに含まれており何もしない。難読化や解析を困難にすることを目的に使われているものだろうと分析されている。

また、Sucuriは調査の過程でこうした難読化の派生として、あまり使われていない拡張子のファイルに置き換えられる方法が取られるケースも発見したと説明。使われていたファイル拡張子は.3gp、.mkv、.mp4などのメディア形式を意味する拡張子で、これらはWebサイトではあまり使われていないという。これらファイルに先ほど説明したようなユニコードのコメントを大量に含めたPHPコードが含まれていたとされている。メディアファイルはセキュリティソフトウェアの検出から外されることが多いため、こうしたファイル拡張子を隠れ蓑に使ったのだろうと指摘されている。

Sucuriはこうしたバックドアを仕掛けられるようなリスクを軽減する方法として、次のようなアドバイスを挙げている。

  • 強力なパスワードを使い回さず、サービスごとに用意して使用する
  • 管理パネルに多要素認証(MFA: Multi-Factor Authentication)を使用する
  • コアCMS、プラグイン、テーマ、サードパーティコンポーネントを常に最新版へアップデートする
  • WebサイトをWebアプリケーションファイアウォールの背後に配置する
  • Webサイトのセキュリティベストプラクティスに従う

サイバー攻撃者は新しい手法の模索を続けており、セキュリティソフトウェアによる検出が常に機能するとは限らない。リスクが存在することを認識するとともに、複数の方法で対策を取り続けることが望まれている。