原文作者：雲襲2001

更新時間：2017年12月21日

0x00 事件背景

近日，WordPress官方庫删除了挿件Captcha，該挿件最初看起來是當前作者使用“WordPress”的商標問題。隨後有人發現在WordPress Captcha官方挿件中發現存在後門，導致用戶在更新挿件時被植入後門。

360CERT對該事件進行了分析和溯源，建議WordPress用戶儘快排查。

0x01事件描述

近期，WordPress Captcha官方挿件中被發現植入了惡意程式碼，該程式碼可以劫持用戶對挿件的更新。在被劫持的更新代碼中發現一個後門：通過該後門任意用戶可以以管理員的身份進入WordPress的管理後臺，該後門只能被駭客使用一次。

該後門首次被發現於2017年12月4日的4.3.6版本中，相關地址如下：

https://plugins.trac.wordpress.org/changeset/1780758/captcha

0x02後門程式碼分析

分析發現，在captcha.php檔案中的cptch_wp_plugin_auto_update函數存在後門：

該函數主要用於對於挿件進行版本更新。可以看到其中$wptuts_plugin_remote_path是一個simplywordpress.net下的php檔案。請求該檔案將會下載一個zip檔案對該挿件進行更新。

在該函數底部可以看到，當用戶點擊挿件更新時，就會調用cptch_wp_plugin_auto_update函數。

跟入函數中的cptch_wp_auto_update，這是一個用來更新挿件的類，位於

在cptch_wp_auto_update.php中：

在被構造初始化後調用cptch_check_update（）方法進行跟新：

cptch_check_update（）方法中對比挿件版本後使用curl_exec請求了遠程的zip檔案，下載解壓後使用activate_plugins（）啟動了挿件。而curl_exec遠程請求的地址正是剛剛cptch_wp_plugin_auto_update函數中傳入的地址：

https://simplywordpress.net/captcha/captcha_pro_update.php

下載得到的zip檔案中，經過對比發現在plugin-update.php檔案中藏有後門程式碼：

後門會嘗試使用unlink删除自身檔案，導致了該後門只能被使用一次。然後用get_userdata（1）獲取了管理員的資訊。然後使用wp_clear_auth_cookie（）；和wp_set_current_user將自己身份設定為管理員，之後使用wp_safe_redirect跳轉進入管理後臺。

0x03分析溯源

根據WordFence的分析過程，我們梳理了如下線索：

1、注册郵箱與注册人

該挿件最先由BestWebSoft進行獨立維護，但在2017年9月5日BestWebSoft公司聲明有一個新的組織加入，該組織將主要負責免費版的挿件，挿件的增强版和專業版繼續由BestWebSoft公司維護：

https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

通過査詢simplywordpress.net功能變數名稱的注册資訊發現：

注册郵箱為：[email protected]，注册人為：Stacy Wellington。通過注册郵箱反查發現該郵箱註冊了大量功能變數名稱：

2、關聯功能變數名稱

通過其中一個功能變數名稱（unsecuredloans4u.co.uk）網站底部有如下資訊可以看出該網站屬於“Soiza InternetMarketers Limited”並且是昆特集團有限公司的代表（Representative ofQuint Group Limited）：

通過WordFence安全報告發現，上述公司是一個利用WordPress挿件放置暗鏈做“黒帽SEO”公司。

同時分析發現simplywordpress.net和unsecuredloans4u.co.uk有緊密關係：通過DNS記錄顯示simplywordpress.net之前有一條A記錄的査詢是195.154.179.176，這正是unsecuredloans4u.co.uk的A記錄。並且通過DNS的解析歷史發現，simplywordpress.net在2017年10月A記錄進行了一次變更，變更之前的IP正是unsecuredloans4u.co.uk現在的IP地址：

3、可以公司與注册人

另一方面通過查看195.154.179.176上其他功能變數名稱的網站如pingloans.co.uk，在其首頁底部的介紹中可以發現該網站屬於“Serpable Ltd”：

通過査詢“Serpable Ltd”公司的注册人可以發現是“Charlotte Ann Wellington”：

4、新功能變數名稱與多個挿件

回到simplywordpress.net網站，360 CERT於2017年12月20日13點訪問該網站發現仍然可用：

並在網站中發現了該網站提供了多個WordPress的挿件，與WordFence分析報告中提到的挿件基本一致，經過360CERT重新整理，發現涉及到的挿件主要有：

• convert-popup

convert-popup

• death-to-comments

death-to-comments

• Human Captcha（free）Human Captcha（pro）

Human Captcha（free）Human Captcha（pro）

• smart-recaptcha

smart-recaptcha

• Social（free）Social（pro）

Social（free）Social（pro）

• Social Exchange

Social Exchange

上述6個挿件與Captcha挿件後門存在相同的手法：

同時在swpopup發現一個新的功能變數名稱：heyrank.co.uk

該功能變數名稱WordFence分析報告中發現的一致，注册人為：“StacyWellington”

同時195.154.179.176正是unsecuredloans4u.co.uk的地址：

5、背後可疑集團

到此可以發現Stacy和Charlotte Ann Wellington兩人均涉及到“Quint Ltd”。

通過蒐索發現Stacy聲明為Serpable公司工作，而“Serpable”公司正是屬於“Ann Wellington”

査詢“Charlotte Ann WELLINGTON”發現其擁有公司：

• CODELABSGROUP LTD

CODELABSGROUP LTD

• LEADBRAIN LTD

LEADBRAIN LTD

• SERPABLE LTD

SERPABLE LTD

相關資訊如下：

https://beta.companieshouse.gov.uk/officers/iIMGxbZMjmfOUE-FLoktQUrBDWg/appointments

SERPABLE公司曾經在其網站上公開出售過暗鏈，鏡像如下圖：

同時在blackhatworld論壇中留下了出售暗鏈的資訊：

通過檢索、以及根據首頁底部的介紹，發現以下網站同樣屬於SERPABLE公司：

• loanload.co.uk

loanload.co.uk

• pingloans.co.uk

pingloans.co.uk

• pounda.co.uk

pounda.co.uk

至此，該集團與此次事件的情况基本梳理完成，360 CERT總結成了如下的關係圖：

0x04事件影響

WordPress官網顯示，Captcha等挿件的總啟動使用量在300000以上。

通過對官方挿件Timeline的查看，發現Captcha後門首次出現在12月4日的版本中：

官方於12月20日才發現並删除該後門。也就是說在12月4日至12月20日之間更新過該挿件的用戶均遭受影響。

通過WordFence的報告看出，受影響的版本為4.3.6–4.4.4。基於該挿件擁有超過30萬的用戶量，360 CERT初步判斷該後門事件影響廣泛。

0x05緩解措施

首先在挿件目錄下的plugin-update.php頁面，同時其原始程式碼中檢查是否有如下程式碼：

如有發現請立即删除該檔案。

同時在挿件目錄下的captcha.php頁面原始程式碼中檢查是否有如下連結：

https://simplywordpress.net/captcha/captcha_pro_update.php

如果存在，千萬不要在後臺點擊更新挿件，而是將整個挿件删除。

官方已於最新版的程式碼中删除了該後門，用戶在手動刪除檔後，可以重新安裝最新版挿件。

0x06 IOCs

資源請求：

https://simplywordpress.net/captcha/captcha_pro_update.php

http://simplywordpress.net/humancaptcha/human_cptch_pro_update.php

http://simplywordpress.net/social-exchange/social_free_update.php

http://simplywordpress.net/death-to-comments/dcmt_pro_update.php

http://simplywordpress.net/convert-popup/convert_popup_pro_update.php

功能變數名稱/IP：

simplywordpress.net 

unsecuredloans4u.co.uk

heyrank.co.uk

loanload.co.uk

pingloans.co.uk

pounda.co.uk

195.154.179.176

23.236.161.226

郵箱：

[email protected]

相關WordPress挿件

convert-popup

death-to-comments

Human Captcha（free）Human Captcha（pro）

smart-recaptcha

Social（free）Social（pro）

Social Exchange

0x07時間線

2017年12月19日         Wordfence事件披露

2017年12月20日         360CERT及時跟進，完成分析報告

2017年12月21日         360CERT對外發佈預警

0x08參攷連結

https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

https://wordpress.org/support/topic/backdoor-2/ 

https://plugins.trac.wordpress.org/changeset/1780758/captcha

推薦閱讀：

長按下方二維碼關注360CERT！謝謝你的關注！

網站地址：https://cert.360.cn

注：360CERT官方網站提供《WordPress Captcha插件後門事件分析溯源報告》完整PDF下載，點擊Read more