360CERT：WordPress Captcha插件后门事件分析溯源报告-安全客

0x00 事件背景

近日，WordPress官方库删除了插件Captcha，该插件最初看起来是当前作者使用“WordPress”的商标问题。随后有人发现在WordPress Captcha官方插件中发现存在后门，导致用户在更新插件时被植入后门。

360CERT对该事件进行了分析和溯源，建议WordPress用户尽快排查。

0x01 事件描述

近期，WordPress Captcha官方插件中被发现植入了恶意代码，该代码可以劫持用户对插件的更新。在被劫持的更新代码中发现一个后门：通过该后门任意用户可以以管理员的身份进入WordPress的管理后台，该后门只能被黑客使用一次。

该后门首次被发现于2017年12月4日的4.3.6版本中，相关地址如下：

https://plugins.trac.wordpress.org/changeset/1780758/captcha

0x02 后门代码分析

分析发现，在captcha.php文件中的cptch_wp_plugin_auto_update函数存在后门：

该函数主要用于对于插件进行版本更新。可以看到其中$wptuts_plugin_remote_path是一个simplywordpress.net下的php文件。请求该文件将会下载一个zip文件对该插件进行更新。

在该函数底部可以看到，当用户点击插件更新时，就会调用cptch_wp_plugin_auto_update函数。

跟入函数中的cptch_wp_auto_update，这是一个用来更新插件的类，位于

在cptch_wp_auto_update.php中：

在被构造初始化后调用cptch_check_update()方法进行跟新：

cptch_check_update()方法中对比插件版本后使用curl_exec请求了远程的zip文件，下载解压后使用activate_plugins()激活了插件。而curl_exec远程请求的地址正是刚刚cptch_wp_plugin_auto_update函数中传入的地址：

https://simplywordpress.net/captcha/captcha_pro_update.php

下载得到的zip文件中，经过对比发现在plugin-update.php文件中藏有后门代码：

后门会尝试使用unlink删除自身文件，导致了该后门只能被使用一次。然后用get_userdata(1)获取了管理员的信息。然后使用wp_clear_auth_cookie();和wp_set_current_user将自己身份设置为管理员，之后使用wp_safe_redirect跳转进入管理后台。

0x03 分析溯源

根据WordFence的分析过程，我们梳理了如下线索：

1、注册邮箱与注册人

该插件最先由BestWebSoft进行独立维护，但在2017年9月5日BestWebSoft公司声明有一个新的组织加入，该组织将主要负责免费版的插件，插件的增强版和专业版继续由BestWebSoft公司维护：

https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

通过查询simplywordpress.net域名的注册信息发现：

注册邮箱为：scwellington@hotmail.co.uk，注册人为：Stacy Wellington。通过注册邮箱反查发现该邮箱注册了大量域名：

2、关联域名

通过其中一个域名（unsecuredloans4u.co.uk）网站底部有如下信息可以看出该网站属于“Soiza InternetMarketers Limited”并且是昆特集团有限公司的代表（Representative ofQuint Group Limited）：

通过WordFence安全报告发现，上述公司是一个利用WordPress插件放置暗链做“黒帽SEO”公司。

同时分析发现simplywordpress.net和unsecuredloans4u.co.uk有紧密关系：通过DNS记录显示simplywordpress.net之前有一条A记录的查询是195.154.179.176，这正是unsecuredloans4u.co.uk的A记录。并且通过DNS的解析历史发现，simplywordpress.net在2017年10月A记录进行了一次变更，变更之前的IP正是unsecuredloans4u.co.uk现在的IP地址：