Sucuriは7月22日(米国時間)、「Uncovering a Stealthy WordPress Backdoor in mu-plugins」において、WordPressの必須プラグインフォルダ「mu-plugins」からマルウェアローダーを発見したと報じた。
このマルウェアは目立たず、永続性を持ち、発見を困難にする設計がなされているという。
-
Uncovering a Stealthy WordPress Backdoor in mu-plugins
単純だが有効、ROT13難読化
発見されたマルウェアからはROT13難読化手法を使用するという特徴が確認されている。ROT13は「Rotate by 13 places」の略で、アルファベットを13文字ずらすだけのシーザー暗号の一つとされる。
記号は変換対象ではないことから、「https://」は「uggcf://」と変換することになる。ROT13難読化を使用する正規のプラグインやテーマは存在しないと考えられるため、この文字列が含まれている場合はマルウェアの可能性がある。
このマルウェアは管理パネルから操作できない必須プラグインフォルダの「mu-plugins」から発見された。リモートからBase64エンコードされたペイロードをダウンロードしてデータベースに保存する機能と、「ペイロードのファイルへの保存、実行、削除」を連続して実行する機能を持つ。mu-pluginsに配置することで自動読み込みによる永続性を確保し、ペイロードの実行を短時間に処理することでステルス性を確保する。
追加のペイロードからは次の機能が確認されている。
- ファイルの窃取、アップロード、削除
- 管理者アカウント(officialwp)の追加
- 追加プラグインのインストール
- 既存ユーザー(admin、root、wpsupport、officialwp)のパスワード変更
対策
初期の侵害経路が明らかになっていない。そのため、Sucuriは予防策としてWordPressセキュリティのベストプラクティスを実践するように推奨している。また、侵入された場合の被害を軽減するため、WordPressの設定ファイル「wp-config.php」に次の1行を追記してファイルの編集を無効にすることを提案している。
define('DISALLOW_FILE_EDIT', true);
WordPressの必須プラグインフォルダー「mu-plugins」を悪用する攻撃は今年3月にも報告されている(参考:「WordPressの必須プラグインにマルウェア隠蔽、ただちに確認を | TECH+(テックプラス)」)。今後も同様の攻撃が継続すると懸念されており、WordPressサイトを運用する管理者には警戒を怠らず、対策を強化することが望まれている。
