东方时讯网
网络安全专家已经确定了一种伪装WordPress安全威胁的新方法,该方法涉及使用看起来合法的代码动态生成恶意软件。在一篇博客文章中,Wordfence的 WordPress 安全专家 Ned Andonov分享了有关简单但有效的混淆技术的详细信息,由于其独特的特性,它不携带任何常见的可检测模式。
“代码抽象看起来几乎完美,每个类方法都有很好的注释,业务逻辑看起来很合理,代码遵循最新的代码质量标准,”安多诺夫写道。
事实上,安东诺夫承认,恶意软件生成代码编写得非常好,需要经验丰富的安全分析师才能注意到任何可疑之处。
分解代码,安多诺夫说,虽然许多方法看起来合法,但首先让他感到奇怪的是$indicies变量。
“这个函数实际上是使用一个标准的 for 循环来生成常用的可疑函数,同时逃避检测,是代码中最明显混淆的部分,”Andonov 写道。
这还不是全部。该代码还从 PNG 图像中提取压缩的恶意软件。
Andonov 认为该恶意软件是专业编写的,包含“一系列远程命令,包括代码执行、更新和文件访问”。
在分析攻击者所用技术的心理基础时,他引用了诺贝尔奖获得者精神病学家 Daniel Kahneman 的工作,得出的结论是,对代码的常规凝视不会使没有经验的分析师的传感器跳闸,他没有理由怀疑代码值得仔细研究。
“正如 Kahneman 所说,在分析可疑的恶意软件时,分析师也可以很好地保持他们的系统 2 的思维,”安多诺夫总结道。
Mayank Sharma 在 Linux 上有近 20 年的写作和报告经验,他希望每个人都认为他是TechRadar Pro在该主题上的专家。当然,他对其他计算主题也同样感兴趣,尤其是网络安全、云、容器和编码。