研究人員在2.4萬網站發現4.7萬WordPress惡意插件。

佐治亞理工學院(Georgia Institute of Technology)研究人員經過8年的持續研究，開發了一個可以自動化檢測惡意WordPress插件和追蹤插件源的工具。研究人員利用YODA工具對24931個網站進行了檢測，發現了47337個惡意插件。研究人員通知了相關插件的開發人員，但仍有94%的惡意插件未被修復。

YODA

YODA包含4個部分：

插件檢測：YODA可以通過識別插件的源和該插件相關的文件來檢測所有的web服務器插件。

惡意行為檢測：YODA使用插件代碼文件中的文件元數據、敏感API等句法特征和環境相關的語義特征來識別惡意行為。句法分析使用數據流來識別插件代碼文件中使用的可疑API。語義模型主要考慮web shell、注入代碼的受保護執行、垃圾郵件、代碼混淆、惡意軟件下載、惡意軟件廣告、加密貨幣挖礦等。

惡意插件源分析：確定惡意行為的源，更好地理解CMS生態中不同的攻擊者入口。惡意插件行為主要來源于無效插件市場、合法插件市場、被注入的插件、受感染的插件。

影響研究：為研究惡意插件對插件市場的影響，YODA提出了與每個插件相關的影響度量。

插件檢測結果

惡意行為檢測結果

YODA可以部署到網站和web服務器提供商中。除了檢測隱藏的惡意插件外，該框架也可以用來識別插件的出處和所有權。

研究人員分析了2012年以來的超過40萬個web 服務器中的WordPress插件，其中24931個網站中安裝的插件中有47337個插件是惡意的。超過安裝超過8年的惡意插件中有94%至今仍在使用。

通過使用YODA，網站所有者和服務提供商可以識別web服務器中的惡意插件，插件開發者和插件市場也可以在分發插件之前對其插件的安全性進行審查評估。

相關研究成果被安全頂會Usenix security 2022安全大會錄用，論文下載地址：https://cyfi.ece.gatech.edu/publications/SEC_22.pdf。

YODA工具代碼地址：https://github.com/CyFI-Lab-Public/YODA。

本文翻譯自：https://thehackernews.com/2022/06/yoda-tool-found-47000-malicious.html如若轉載，請注明原文地址。