WordPress發現高階惡意軟體 多階段攻擊隱匿性高、訪客電腦恐遭木馬攻擊

不同於傳統的惡意軟體感染，往往會留下明顯的網站破壞或可疑的重新導向，這類攻擊完全在幕後操作，使得網站管理員和安全工具極難偵測。記者孫敬／編譯

網路安全公司Sucuri近日揭露一項針對WordPress網站的高複雜、高隱匿的惡意軟體攻擊，利用精密的感染鏈，能在維持對標準安全檢查完全隱形的情況下，結合PHP後門與先進的規避機制，向毫無戒心的網站訪客投入Windows木馬程式，以建立對受害者系統的持久性存取，

不同於傳統的惡意軟體感染，往往會留下明顯的網站破壞或可疑的重新導向，這類攻擊完全在幕後操作，使得網站管理員和安全工具極難偵測，Sucuri研究人員是在調查一起看似例行的WordPress入侵事件後，才發現這個複雜的威脅。

延伸閱讀：為創作者爭取收益！Cloudflare推「爬蟲收費機制」讓AI公司對內容使用付費

[caption id="attachment_180080" align="aligncenter" width="1200"]

WordPress被查獲有高危險等級的惡以軟體攻擊。（圖／WordPress）[/caption]

感染機制深度解析，從PHP控制器到持久性木馬植入

外媒報導，這次惡意軟體攻擊採用多層次手法，包含基於PHP的下載器、高度混淆的程式碼、基於IP的規避技術、自動生成的批次腳本，以及一個惡意的ZIP壓縮檔，包含最終的Windows木馬酬載，檔名為client32.exe。

至於感染機制，關鍵在於一個精密的PHP控制器系統，它能分析訪客資料並強制執行嚴格的反分析，主要的元件header.php檔案作為中央情報站，實施基於IP的日誌記錄，以防止同一來源的重複感染。這個檔案只回應POST請求，並在count.txt中維護一個黑名單，追蹤訪客的IP位址，確保每位受害者只接收一次酬載（Payload）。

[caption id="attachment_180081" align="aligncenter" width="1226"]

此惡意軟體透過通訊埠443與位於5.252.178.123的命令與控制（C2）伺服器建立隱藏連線。（圖／SUCURi）[/caption]

惡意軟體的酬載傳遞系統展現了技術複雜性，特別是其動態生成批次檔案的能力。當識別到新的受害者時，header.php會建立一個Windows批次腳本，統籌整個感染過程。這個腳本利用混淆語法的PowerShell指令，從外部伺服器下載惡意ZIP壓縮檔，並專門針對%APPDATA%目錄進行酬載儲存。

另外，持久性機制是這次攻擊中最令人擔憂的層面之一。當生成的批次腳本執行後，它會修改Windows登錄檔，在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 中添加一個條目，確保木馬程式 client32.exe 在系統啟動時自動運行。這種登錄檔修改保證了惡意軟體在系統重啟和使用者會話間的持續運作。最終的酬載會建立一個與指令與控制（C2）伺服器 5.252.178.123（埠號443）的後門連線，實現了進階持續性威脅典型的遠端存取能力。

該惡意軟體還包含清理機制，會移除初始下載痕跡，但會刻意保留已解壓縮的可執行檔以供持續操作。

資料來源：Cyber Security News

這篇文章 WordPress發現高階惡意軟體 多階段攻擊隱匿性高、訪客電腦恐遭木馬攻擊 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。