研究人员在24,000个网站上发现了47,000个WordPress恶意插件。经过八年的不断研究,佐治亚理工学院(GeorgiaInstituteofTechnology)的研究人员开发出一种工具,可以自动检测恶意WordPress插件并追踪插件的来源。研究人员使用YODA工具检测了24,931个网站,发现了47,337个恶意插件。研究人员通知了相关插件的开发者,但94%的恶意插件仍未修复。YODAYODA由4个部分组成:插件检测:YODA可以通过识别插件的来源和与插件相关的文件来检测所有的Web服务器插件。恶意行为检测:YODA利用插件代码文件中的文件元数据和敏感API等句法特征以及环境相关的语义特征来识别恶意行为。语法分析使用数据流来识别插件代码文件中使用的可疑API。语义模型主要考虑webshell、注入代码的保护执行、垃圾邮件、代码混淆、恶意软件下载、恶意软件广告、加密货币挖掘等。恶意插件源分析:确定恶意行为的来源,更好地了解不同的攻击者入口点在CMS生态系统中。恶意外挂行为主要来自无效外挂市场、合法外挂市场、注入外挂、感染外挂。影响研究:为了研究恶意插件对插件市场的影响,YODA提出了与每个插件相关的影响指标。插件检测结果恶意行为检测结果YODA可以部署到网站和网络服务器提供商。除了检测隐藏的恶意插件外,该框架还可用于识别插件的来源和所有权。研究人员分析了自2012年以来超过400,000台网络服务器上的WordPress插件,其中24,931个站点上安装的47,337个插件是恶意的。8年多前安装的恶意插件中,94%至今仍在使用。通过使用YODA,网站所有者和服务提供商可以识别Web服务器中的恶意插件,插件开发商和插件市场也可以在分发插件之前审查和评估其插件的安全性。相关研究成果被顶级安全会议UsenixSecurity2022SecurityConference录用,论文下载地址为:https://cyfi.ece.gatech.edu/publications/SEC_22.pdf。YODA工具代码地址:https://github.com/CyFI-Lab-Public/YODA。本文翻译自:https://thehackernews.com/2022/06/yoda-tool-found-47000-malicious.html如有转载请注明原文地址。
