新型恶意软件攻击利用变量函数和 Cookie 来逃避和隐藏恶意脚本
针对 WordPress 网站的复杂恶意软件活动已经出现,它利用 PHP 变量函数和基于 cookie 的混淆来逃避传统的安全检测机制。 此次攻击代表了混淆技术的演变,威胁行为者将恶意代码分解到多个 HTTP cookie 中,并在运行时动态重建可执行函数。 这种方法使静态分析变得更具挑战性,因为恶意意图在所有 cookie 组件被组装和执行之前都是隐藏的。 仅在 2025 年 9 月,该恶意软件就被检测到超过 30,000 次,表明其部署广泛且对易受攻击的网站持续有效。
针对 WordPress 网站的复杂恶意软件活动已经出现,它利用 PHP 变量函数和基于 cookie 的混淆来逃避传统的安全检测机制。
此次攻击代表了混淆技术的演变,威胁行为者将恶意代码分解到多个 HTTP cookie 中,并在运行时动态重建可执行函数。
这种方法使静态分析变得更具挑战性,因为恶意意图在所有 cookie 组件被组装和执行之前都是隐藏的。
仅在 2025 年 9 月,该恶意软件就被检测到超过 30,000 次,表明其部署广泛且对易受攻击的网站持续有效。
攻击媒介主要针对基于 PHP 的 Web 应用程序,特别是 WordPress 安装,通过注入通过特制 cookie 接受命令的后门脚本。
与在文件中嵌入完整恶意负载的传统恶意软件不同,此活动在编号的 cookie 索引中分发函数名称和编码参数。
一旦部署,恶意软件就会等待特定的 cookie 配置才激活,要求攻击者发送包含所有必要组件的精确结构化的请求。
这种条件执行有双重目的:逃避可能在没有适当 cookie 的情况下触发脚本的自动安全扫描,并防止发现后门的其他恶意行为者进行未经授权的访问。
Wordfence 研究人员在常规事件响应操作中发现了该恶意软件家族的多种变体,并将样本添加到包含超过 440 万个独特恶意签名的威胁情报数据库中。
该检测是通过对受感染网站的分析进行的,在这些网站上,传统的基于签名的扫描最初很难标记出严重混淆的代码。
分析表明,虽然各个变体在实现细节上有所不同,但它们具有共同的核心特征,包括密集的混淆、过多的数组查找以及作为攻击者身份验证机制的故意的 cookie 验证检查。
技术实现和代码执行链
该恶意软件通过多阶段执行链运行,利用 PHP 的变量函数功能,其中将括号附加到任何变量都会导致 PHP 执行与变量的字符串值匹配的函数。
在检查的样本中,脚本首先将超$_COOKIE全局变量存储到局部变量中,并验证是否存在 11 个 cookie,其中一个包含特定字符串“array11”。
然后,恶意软件连接 cookie 值来重建函数名称,例如组合包含“base64_”和“decode”的 cookie 来形成完整的base64_decode函数名称。
执行链展示了复杂的分层:这会重建base64_decode,然后解码另一个包含“Y3JlYXRlX2Z1bmN0aW9u”的cookie,以生成“create_function”。恶意软件随后使用create_function攻击者控制的参数生成任意可执行代码。
后续变体采用字符串替换技术,将混淆字符串(如“basx649fxcofx”)转换为“base64_decode”,方法是将字符“x”、“f”和“9”分别替换为“e”、“d”和“_”。
这种多层方法可以绕过模式匹配检测,同时通过 cookie 参数传递的序列化有效负载保持完整的远程代码执行能力。
此次攻击代表了混淆技术的演变,威胁行为者将恶意代码分解到多个 HTTP cookie 中,并在运行时动态重建可执行函数。
这种方法使静态分析变得更具挑战性,因为恶意意图在所有 cookie 组件被组装和执行之前都是隐藏的。
仅在 2025 年 9 月,该恶意软件就被检测到超过 30,000 次,表明其部署广泛且对易受攻击的网站持续有效。
攻击媒介主要针对基于 PHP 的 Web 应用程序,特别是 WordPress 安装,通过注入通过特制 cookie 接受命令的后门脚本。
与在文件中嵌入完整恶意负载的传统恶意软件不同,此活动在编号的 cookie 索引中分发函数名称和编码参数。
一旦部署,恶意软件就会等待特定的 cookie 配置才激活,要求攻击者发送包含所有必要组件的精确结构化的请求。
这种条件执行有双重目的:逃避可能在没有适当 cookie 的情况下触发脚本的自动安全扫描,并防止发现后门的其他恶意行为者进行未经授权的访问。
Wordfence 研究人员在常规事件响应操作中发现了该恶意软件家族的多种变体,并将样本添加到包含超过 440 万个独特恶意签名的威胁情报数据库中。
该检测是通过对受感染网站的分析进行的,在这些网站上,传统的基于签名的扫描最初很难标记出严重混淆的代码。
分析表明,虽然各个变体在实现细节上有所不同,但它们具有共同的核心特征,包括密集的混淆、过多的数组查找以及作为攻击者身份验证机制的故意的 cookie 验证检查。
技术实现和代码执行链
该恶意软件通过多阶段执行链运行,利用 PHP 的变量函数功能,其中将括号附加到任何变量都会导致 PHP 执行与变量的字符串值匹配的函数。
在检查的样本中,脚本首先将超$_COOKIE全局变量存储到局部变量中,并验证是否存在 11 个 cookie,其中一个包含特定字符串“array11”。
然后,恶意软件连接 cookie 值来重建函数名称,例如组合包含“base64_”和“decode”的 cookie 来形成完整的base64_decode函数名称。
执行链展示了复杂的分层:
$locale[79] = $locale[79] . $locale[94];
$locale[23] = $locale[79]($locale[23]);后续变体采用字符串替换技术,将混淆字符串(如“basx649fxcofx”)转换为“base64_decode”,方法是将字符“x”、“f”和“9”分别替换为“e”、“d”和“_”。
这种多层方法可以绕过模式匹配检测,同时通过 cookie 参数传递的序列化有效负载保持完整的远程代码执行能力。
关于作者
评论0次