เครื่องมือสำหรับสร้างเว็บไซต์ที่เป็นที่นิยมอย่าง Wordpress นั้นถึงแม้ความนิยมจะไม่เคยเสื่อมถอย แต่ก็มักจะมีข่าวเรื่องมัลแวร์ และการถูกแฮกออกมาเป็นประจำสม่ำเสมอ จนผู้ใช้งานหลายรายเริ่มชิน สำหรับครั้งนี้ก็เช่นกัน
จากรายงานโดยเว็บไซต์ Info Security Magazine ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่บน Wordpress ที่แฝงตัวเป็นปลั๊กอินชื่อดังต่าง ๆ ซึ่งมัลแวร์ดังกล่าวนั้นมีชื่อว่า “WP-antymalwary-bot.php” โดยมัลแวร์ดังกล่าวนั้นมีความสามารถทั้งการยิงโค้ดอันตรายต่าง ๆ ลงสู่เว็บไซต์ รวมถึงทำหน้าที่เป็นตัวกลางในการช่วยแสดงโฆษณาของแฮกเกอร์บนเว็บไซต์ ทั้งยังมีความสามารถในการคงตัวบนระบบที่สูงอีกด้วย
โดยการตรวจพบมัลแวร์ดังกล่าวนั้นเรียกได้ว่าเป็นความบังเอิญของทีมวิจัยจาก Wordfence บริษัทผู้เชี่ยวชาญด้านการพัฒนาปลั๊กอินด้านความปลอดภัยบน Wordpress ซึ่งได้ตรวจพบมัลแวร์ดังกล่าวระหว่างการทำความสะอาดเว็บไซต์เป็นประจำตามตารางเวลา โดยทางทีมวิจัยได้ระบุว่า การปลอมตัวของมัลแวร์ดังกล่าวมีความแนบเนียนที่สูงถึงระดับ Metadata ที่ถ้าไม่ตรวจสอบให้ดีจะแยกตัวปลั๊กอินปลอมของตัวมัลแวร์กับของแท้ไม่ออกเลยทีเดียว
นอกจากความเนียนในการปลอมตัวแล้ว ทางทีมวิจัยยังพบฟังก์ชันสำหรับเปิดประตูหลังของระบบ (Backdoor) มากมายหลายตัวบนมัลแวร์ ทำให้ทางทีมวิจัยระบุว่ามัลแวร์ตัวนี้มีอันตรายที่ค่อนข้างสูงมาก โดยเฉพาะอย่างยิ่งฟังก์ชัน emergency_login_all_admins ที่ช่วยให้แฮกเกอร์สามารถได้รับสิทธิ์การเข้าถึงตัวเว็บไซต์ในระดับผู้ดูแล (Admin หรือ Administrator) ผ่านทางการยิง GET Request และป้อนรหัสผ่านที่ถูกตั้งค่าไว้บนมัลแวร์แล้ว (Harcoded Password) ทำให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ได้อย่างเบ็ดเสร็จ
ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีฟังก์ชัน execute_admin_command สำหรับรับคำสั่งปฏิบัติการผ่านทาง REST API ซึ่งการรันคำสั่งผ่านทางนี้จะไม่ถูกตรวจสอบสิทธิ์ในการใช้งาน (Permission Check) ทำให้แฮกเกอร์สามารถยิงโค้ด PHP เพื่อแทรกลงไปในส่วนของ Header อีกทั้งยังสามารถล้างแคชในส่วนของปลั๊กอินได้อีกด้วย
และที่ร้ายที่สุดคือ ความสามารถในการคงตัวเองบนระบบ (Persistence) ที่ร้ายมาก โดยทางทีมวิจัยระบุว่า ถ้าผู้ใช้งานตรวจพบแล้วทำการลบมัลแวร์ ตัวมัลแวร์จะทำการติดตั้งตัวเองใหม่อย่างอัตโนมัติ เนื่องจากตัวมัลแวร์ได้ทำการดัดแปลงไฟล์ wp-cron.php ซึ่งเป็นไฟล์ที่จะรันตัวเองทุกครั้งที่มีผู้เข้าเยี่ยมชมเว็บไซต์ ทำให้แม้จะลบ แต่ถ้ามีผู้เข้าเยี่ยมชม มัลแวร์ก็จะติดตั้งตัวเองอย่างอัตโนมัติในทันที จากการสืบสวนเพิ่มเติมแล้ว ทางทีมวิจัยพบว่ามัลแวร์ดังกล่าวนั้นมีการทำงานร่วมกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ตั้งอยู่ภายในประเทศไซปรัส สำหรับทางแก้ไขนั้น ทางทีมวิจัยนอกจากแนะนำการป้องกันตัวเว็บไซต์โดยเบื้องต้น เช่น การเข้มงวดด้านการตรวจสอบการติดต่อสื่อสารที่ผิดปกติ และใช้ระบบการยืนยันตัวตนหลายทาง (MFA หรือ Multi-Factors Authentication) แล้ว ก็ยังไม่ได้มีการแนะนำว่าจะจัดการกับมัลแวร์ดังกล่าวโดยตรงได้อย่างไรในขณะนี้
|