May 20, 2018

Language:

CamSA18-05 : ប្រុងប្រយ័ត្នវេបសាយ ដំណើរការដោយ WordPress ដែលមានបង្កប់មេរោគ Cryptocurrency Mining

ប្រវត្តិនៃបញ្ហា

កាលពីថ្ងៃទី២៩ ខែមករា ឆ្នាំ២០១៨ កន្លងទៅនេហ អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Securi បានរកឃើញនូវយុទ្ធនាការវាយប្រហារមួយ ដែលមានគោលដៅទៅលើវេបសាយដំណើរការដោយ WordPress ដោយធ្វើការបង្កប់នូវកម្មវិធីសម្រាប់ mining cryptocurrency និងមេរោគ keylogger ។

កម្មវិធីសម្រាប់ធ្វើការ​ mining cryptocurrency ដំណើរការនៅលើប្រព័ន្ធកុំព្យូទ័រដែលមានភ្ជាប់ទៅកាន់អ៊ិនធឺណិត ហើយវាប្រើប្រាស់នូវកំលាំងនៃឧបករណ៍ CPU និង​ GPU (Graphics Processing Unit) ហើយដែល keylogger វាជាកម្មវិធីសម្រាប់ធ្វើការចាប់យកនូវរាល់ការវាយអក្សរនៅលើ Keyboard (ដែលនិយមប្រើប្រាស់ដោយឧក្រិដ្ឋជនដើម្បីលួចយក Login Password ឬព័ត៌មានគណនីធនាគារជាដើម)។

កម្មវិធីដែលរងគ្រោះ

ការប្រើប្រាស់​ WordPress ជំនាន់ចាស់, ការប្រើប្រាស់ស្បែកជំនាន់ចាស់ (themes) និងការប្រើប្រាស់ plug-ins ជំនាន់ចាស់ គឺសុទ្ធតែប្រឈមមុខទៅនឹងការឆ្លងមេរោគខាងលើ។

ផលប៉ៈពាល់

អ្នកប្រើប្រាស់អាចដឹងបានតាមរយៈការថយចុះនូវប្រសិទ្ធិភាពនៃប្រតិបត្តិការរបស់ CPU (ដើរខ្លំាងជាងមុន ឬលីសំលេងកង្ហារ CPU ខ្លាំងជាមុន) នៅពេលដែលគាត់វេបសាយដែលមានបញ្ហា។ Cryptocurrency tool ដំណើរការនៅក្នុង background ដែលអាចប្រើប្រាស់ ៦០ភាគរយឬច្រើនជាងនេះនៃ CPU ហើយ​ Keylogger គឺវាអាចចាប់យកព័ត៌មានសំខាន់ដូចជា login credentials និង credit card numbers​ ។

សេចក្តីណែនាំ

សម្រាប់អ្នកប្រើប្រាស់

CamCERT សូមធ្វើការណែនាំទៅដល់អ្នកប្រើប្រាស់ជាទូទៅថា ត្រូវធ្វើការតម្លើង anti-adware web brower extensions និង antivirus tools នៅក្នុងកុំព្យូទ័រ។

អ្នកប្រើប្រាស់ឧបករណ៍ចល័តដែលជួបប្រទៈនូវការអស់ថ្មទូរស័ព្ទយ៉ាងរហ័ស ឬក្តៅខុសប្លែកពីធម្មតា សូមធ្វើការបិទវេបសាយនោះជាបន្ទាន់។

សម្រាប់អភិបាលគ្រប់គ្រងប្រព័ន្ធ

អ្នកគ្រប់គ្រងប្រព័ន្ធអាចធ្វើតាមការណែនាំដូចខាងក្រោម៖

១. ធ្វើការកំណត់ ឬលប់ចោលនូវ malicious scripts ចេញពីវេបសាយ WordPress
១.១. លប់ចោលនូវ​ script ដែលបានបញ្ចូលទៅក្នុងដាតាបេសនៃវេបសាយ WordPress ឬ theme’s file
– ធ្វើការ​ស្កេននូវ database table មានឈ្មោះថា “wp_posts” សម្រាប់ស្វែងរកនូវការឆ្លងណាមួយ ដោយប្រើប្រាស់ malware scanners សម្រាប់ WordPress ដូចជា Sucuri Security ឬ Wordfence Security
– ធ្វើការស្វែងរក និងលប់ចោលនូវ code ចេញពីក្នុង​ theme “functions.php” file
១.២. ឧទាហរណ៍សម្រាប់ធ្វើការស្វែងរកនូវ malicious scripts រួមមាន:
– hxxps://cdjs.online/lib.js
– hxxps://cdjs.online/lib.js?ver=…
– hxxps://cdns.ws/lib/googleanalytics.js?ver=…
– hxxps://msdns.online/lib/mnngldr.js?ver=…
– hxxps://msdns.online/lib/klldr.js

* https ត្រូវបានជំនួសដោយ hxxps សម្រាប់ការងារសុវត្ថិភាព

២. ធ្វើការបិទជាបណ្តោះអាសន្ននូវ malicious call-back IP addresses ដូចខាងក្រោមៈ
– 185.209.23.219
– 185.14.28.10
– 107.181.161.159

៣. ធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ WordPress ទាំងអស់

៤. ធ្វើការអាប់ដេតទៅលើប្រព័ន្ធម៉ាស៊ីនមេទាំងអស់រួមមានទាំងកម្មវិធីរបស់ភាគីទីបី (third-party) ដូចជា Themes និង Plugins ទៅកាន់ជំនាន់ចុងក្រោយបង្អស់

ឯកសារយោង

https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html