【安全圈】警惕针对WordPress 的Balada恶意软件注入

　　CyberNews最近刊载了一篇文章，较为详细地披露了一项针对WordPress的恶意软件注入活动“Balada”，该活动已经渗透了超过100万个网站。

　　据悉，该漏洞的CVSS 分数达到了8.8分，但到 2023 年 5 月，官方 CVE 编号仍未确定。建议运行 Elementor Pro 3.11.6 或更早版本以及激活WooCommerce 插件的网站将 ElementorPro 至少升级到 3.11.7，否则面临认证用户通过利用受损的访问控制实现对网站完全控制的风险，这也是 OWASP 十大风险中最严重的风险。

　　虽然有关此漏洞的报告已在互联网上广泛传播，但本文将重点关注广泛且高度持久的恶意软件注入活动“Balada”。

　　网络安全公司 Sucuri 自 2017 年以来一直在跟踪 Balada注入活动，但直到最近才给这个长期运行的活动命名。Balada 通常利用已知但未修补的WordPress插件和其他软件漏洞等方式实现初始感染，然后通过执行一系列编排好的攻击策略、跨网站感染和安装后门来传播并保持持久性。

　　由于Elementor Pro 和 WooCommerce 妥协路径允许经过身份验证的用户修改 WordPress 配置，创建管理员帐户或将 URL 重定向注入网站页面或帖子，Balada可以窃取数据库凭据、存档文件、日志数据或未得到充分保护的有价值文档，同时建立大量命令和控制 (C2) 通道以实现持久性。

　　Sucuri指出，Balada 注入活动遵循一个确定的月度时间表，通常在周末开始，在周中左右结束。

　　Balada 主要利用基于 Linux 的主机，但基于 Microsoft 的 Web 服务器（如 IIS）也不能幸免。Balada 遵循其他当代恶意软件活动中的做法，利用由随机、不相关的词组成的新注册域来吸引受害者点击并将其重定向到提供恶意负载的网站。

　　这些网站通常会以虚假的IT支持服务、现金奖励通知、甚至像CAPTCHAs这样的安全验证服务为幌子。图一总结了Balada将寻求利用的初始攻击载体、试图滥用的服务或插件以及一些公认的持久性载体。巴拉达一旦植入，将很难移除。

　　天选

　　对于预防 Balada 感染，除了确保网络服务器主机、网站插件、主题或相关软件保持最新状态，还应该通过 Cisco Umbrella 或 DNSFilter 等解决方案确保DNS 安全可靠。这些功能可以提供网络级或漫游客户端解决方案，以识别、阻止重定向尝试和已知恶意网站的DNS请求。

　　企业还应该执行强密码政策，特权用户必须满足多因素认证或其他有条件的访问政策，创建特权账户应向有关团队发出提醒。此外企业还应考虑实施或定期评估以下内容：

　　定期审核 Web 应用程序必要的插件、主题或软件，删除所有不必要或未使用的软件。

　　针对 Web 应用程序进行内部和常规渗透测试或类似评估，以在 Balada 之前识别可利用的弱点。

　　严格限制对 wp-config、网站备份数据、日志文件或数据库存档等敏感文件的访问，并确保数据保留策略在不再需要时清除此数据的旧版本。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　“爹地，你在干嘛？”“ 锻炼身体。”“可是你看起来很奇怪诶。”她：“跪好了，别乱动。小宝你过来。”

　　余承东：今年成绩不代表未来能活下来，但比亚迪以及与华为紧密合作的厂家能

　　余承东：除了华为和比亚迪，其他车企存活难/5月人均工作48.6小时/iOS 17新增「护眼」功能未来周报

　　新增 2 个扬声器，iFixit 拆解苹果 15 英寸 MacBook Air 笔记本

　　苹果 iPhone 14 超过 Pro Max 成美国最畅销 iPhone 机型天选团队