សង្ខេប៖គេរកឃើញកម្មវិធីជំនួយ(plugin) ក្នុងការអ៊ិនគ្រីបជាមួយ AES-256-CBC ដោយប្រើមុខងារ‘openssl-encrypt’។ គេហទំព័រដែលមានកម្មវិធីជំនួយព្យាបាទប្រភេទនេះត្រូវគេជឿជាក់ថា ជាជនរងគ្រោះនៃយុទ្ធនាការវាយប្រហារដ៏ធំមួយ។ កម្មវិធី plugin លើWordPress ដែលមានគំនិតអាក្រក់បានអ៊ិនគ្រីបមាតិកានៅក្នុង blog posts ត្រូវបានគេរកឃើញថាកំណត់គោលដៅលើគេហទំព័រ។
កម្មវិធីជំនួយ(“ WP Security”) ត្រូវអ្នកជំនាញសន្តិសុខនៅ Sucuri ធ្វើការវិភាគនៅពេលដែលពួកគេទទួលបានការជូនដំណឹងអំពីគេហទំព័រ WordPress ដែលតំឡើងកម្មវិធីជំនួយនោះ។ គេរកឃើញថា WP Security បានអ៊ិនគ្រីបPosts ជាមួយAES-256-CBC ដោយប្រើមុខងារ‘openssl_encrypt’។ មានតែមាតិកាត្រូវបានអ៊ិនគ្រីបដោយកម្មវិធីជំនួយ(plugin) ជាមួយលក្ខណៈផ្សេងៗរបស់ WordPress ដែលនៅសល់មិនត្រូវបានកែប្រែ។
ចំណុចសម្គាល់សំខាន់ៗ៖
- កម្មវិធីជំនួយ Plugin មានឯកសារ PHP ចំនួនពីរ និងឯកសារកំណត់ហេតុមួយ។ ក្រុមអ្នកស្រាវជ្រាវ Sucuri រកឃើញថា កម្មវិធីជំនួយមិនបានបង្ហាញនៅលើផ្ទាំង WordPress ទេ។
- មានតែមាតិកា Blog ទេ ដែលត្រូវគេអ៊ិនគ្រីបដោយប្រើកម្មវិធីជំនួយ(plugin)។ ការបង្ហោះ(posts) ត្រូវបានអ៊ិនគ្រីបនៅខាងក្នុងឃ្លាំងទិន្នន័យរបស់គេហទំព័រ។
អ្នកស្រាវជ្រាវឆ្លងកាត់មុខងារដែលប្រើដោយកម្មវិធីជំនួយដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេពីចម្ងាយដើម្បីទទួលបានកូនសោអ៊ិនគ្រីប។
- ស្គ្រីបខាងក្នុងមុខងារប្រើ CURL ដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនមេពីចម្ងាយ។
- កម្មវិធីជំនួយ WP Security ស្វែងរករាល់ការផ្សព្វផ្សាយ(all posts) ក្នុងគេហទំព័រនិងអ៊ិនគ្រីបលេខកូដទាំងនោះ។
- ឯកសារកំណត់ហេតុដំណើរការដោយមានផ្ទុកនូវមាតិកាដែលបានអ៊ិនគ្រីប។
ចំណុចសម្គាល់
ក្រុមអ្នកស្រាវជ្រាវ Sucuri សង្កេតឃើញថា ស្គ្រីបនោះចាប់ផ្តើមភ្ជាប់ទៅនឹង Domain សម្រាប់កូនសោអ៊ិនគ្រីប។ “ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតរបស់យើង យើងរកឃើញថា ស្គ្រីបដូចខាងក្រោមដើម្បីចាប់យកកូនសោសម្រាប់ការអ៊ិនគ្រីប និង / ឌីគ្រីប។ ‘hxxp: // www [.] xcelvations [.] com / wpsecurity / secretkeys.php’ ។ អ្នកស្រាវជ្រាវសរសេរថា គេហទំព័រនេះកំពុងបង្ហាញ“ ទំព័រ ៤០៤ មិនត្រូវបានរកឃើញ(“៤០៤ page not found)” នៅពេលនោះ។ដូច្នេះយើងមិនអាចធ្វើតេស្ត ឬព្យាយាមរកលេខកូដដើម្បីដោះកូដមាតិកានោះទេ។ មានការសន្និដ្ឋានថា គេរកឃើញគេហទំព័រនោះថាមានឆ្លងមេរោគ ហើយជាមួយ WP Security គឺជាជនរងគ្រោះនៃយុទ្ធនាការវាយប្រហារ។
https://cyware.com/news/malicious-wordpress-plugin-encrypts-blog-post-content-dbd5798e
