WordPress Captcha 插件后门事件 分析溯源报告

原文作者：云袭2001

更新时间：2017年12月21日

0x00 事件背景

近日，WordPress官方库删除了插件Captcha，该插件最初看起来是当前作者使用“WordPress”的商标问题。随后有人发现在WordPress Captcha官方插件中发现存在后门，导致用户在更新插件时被植入后门。

360CERT对该事件进行了分析和溯源，建议WordPress用户尽快排查。

0x01事件描述

近期，WordPress Captcha官方插件中被发现植入了恶意代码，该代码可以劫持用户对插件的更新。在被劫持的更新代码中发现一个后门：通过该后门任意用户可以以管理员的身份进入WordPress的管理后台，该后门只能被黑客使用一次。

该后门首次被发现于2017年12月4日的4.3.6版本中，相关地址如下：

https://plugins.trac.wordpress.org/changeset/1780758/captcha

0x02后门代码分析分析发现，在captcha.php文件中的cptch_wp_plugin_auto_update函数存在后门：

该函数主要用于对于插件进行版本更新。可以看到其中$wptuts_plugin_remote_path是一个simplywordpress.net下的php文件。请求该文件将会下载一个zip文件对该插件进行更新。

在该函数底部可以看到，当用户点击插件更新时，就会调用cptch_wp_plugin_auto_update函数。

跟入函数中的cptch_wp_auto_update，这是一个用来更新插件的类，位于

在cptch_wp_auto_update.php中：

在被构造初始化后调用cptch_check_update()方法进行跟新：

cptch_check_update()方法中对比插件版本后使用curl_exec请求了远程的zip文件，下载解压后使用activate_plugins()激活了插件。而curl_exec远程请求的地址正是刚刚cptch_wp_plugin_auto_update函数中传入的地址：

https://simplywordpress.net/captcha/captcha_pro_update.php

下载得到的zip文件中，经过对比发现在plugin-update.php文件中藏有后门代码：

后门会尝试使用unlink删除自身文件，导致了该后门只能被使用一次。然后用get_userdata(1)获取了管理员的信息。然后使用wp_clear_auth_cookie();和wp_set_current_user将自己身份设置为管理员，之后使用wp_safe_redirect跳转进入管理后台。

0x03分析溯源根据WordFence的分析过程，我们梳理了如下线索：

1、注册邮箱与注册人

该插件最先由BestWebSoft进行独立维护，但在2017年9月5日BestWebSoft公司声明有一个新的组织加入，该组织将主要负责免费版的插件，插件的增强版和专业版继续由BestWebSoft公司维护：

https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

通过查询simplywordpress.net域名的注册信息发现：

2、关联域名

通过其中一个域名（unsecuredloans4u.co.uk）网站底部有如下信息可以看出该网站属于“Soiza InternetMarketers Limited”并且是昆特集团有限公司的代表（Representative ofQuint Group Limited）：

通过WordFence安全报告发现，上述公司是一个利用WordPress插件放置暗链做“黒帽SEO”公司。

同时分析发现simplywordpress.net和unsecuredloans4u.co.uk有紧密关系：通过DNS记录显示simplywordpress.net之前有一条A记录的查询是195.154.179.176，这正是unsecuredloans4u.co.uk的A记录。并且通过DNS的解析历史发现，simplywordpress.net在2017年10月A记录进行了一次变更，变更之前的IP正是unsecuredloans4u.co.uk现在的IP地址：

3、可以公司与注册人

通过查询“Serpable Ltd”公司的注册人可以发现是“Charlotte Ann Wellington”：

4、新域名与多个插件

回到simplywordpress.net站点，360 CERT于2017年12月20日13点访问该网站发现仍然可用：

并在网站中发现了该站点提供了多个WordPress的插件,与WordFence分析报告中提到的插件基本一致,经过360CERT重新整理，发现涉及到的插件主要有：

convert-popup

death-to-comments

Human Captcha（free） Human Captcha（pro）

smart-recaptcha

Social（free） Social（pro）

Social Exchange

上述6个插件与Captcha插件后门存在相同的手法：

该域名WordFence分析报告中发现的一致，注册人为：“StacyWellington”

同时195.154.179.176正是unsecuredloans4u.co.uk的地址：

5、背后可疑集团

到此可以发现Stacy 和Charlotte Ann Wellington两人均涉及到“Quint Ltd”。

通过搜索发现Stacy声明为Serpable公司工作，而“Serpable”公司正是属于“Ann Wellington”

查询“Charlotte Ann WELLINGTON”发现其拥有公司：

CODELABSGROUP LTD

LEADBRAIN LTD

SERPABLE LTD

相关信息如下：

https://beta.companieshouse.gov.uk/officers/iIMGxbZMjmfOUE-FLoktQUrBDWg/appointments

SERPABLE公司曾经在其网站上公开出售过暗链，镜像如下图：

同时在blackhatworld论坛中留下了出售暗链的信息：

通过检索、以及根据首页底部的介绍，发现以下网站同样属于SERPABLE公司：

至此，该集团与此次事件的情况基本梳理完成，360 CERT总结成了如下的关系图：

0x04事件影响WordPress官网显示，Captcha等插件的总激活使用量在300000以上。

通过对官方插件Timeline的查看，发现Captcha后门首次出现在12月4日的版本中：

官方于12月20日才发现并删除该后门。也就是说在12月4日至12月20日之间更新过该插件的用户均遭受影响。

通过WordFence的报告看出，受影响的版本为4.3.6 – 4.4.4。基于该插件拥有超过30万的用户量，360 CERT初步判断该后门事件影响广泛。

0x05缓解措施首先在插件目录下的plugin-update.php页面，同时其源代码中检查是否有如下代码：

如有发现请立即删除该文件。

同时在插件目录下的captcha.php页面源代码中检查是否有如下链接：

https://simplywordpress.net/captcha/captcha_pro_update.php

如果存在，千万不要在后台点击更新插件，而是将整个插件删除。

官方已于最新版的代码中删除了该后门，用户在手动删除文件后，可以重新安装最新版插件。

0x06 IOCs

资源请求：

https://simplywordpress.net/captcha/captcha_pro_update.php

http://simplywordpress.net/humancaptcha/human_cptch_pro_update.php

http://simplywordpress.net/social-exchange/social_free_update.php

http://simplywordpress.net/death-to-comments/dcmt_pro_update.php

http://simplywordpress.net/convert-popup/convert_popup_pro_update.php

域名/IP：

simplywordpress.net

unsecuredloans4u.co.uk

195.154.179.176

23.236.161.226

邮箱：

相关WordPress插件

convert-popup

death-to-comments

Human Captcha（free） Human Captcha（pro）

smart-recaptcha

Social（free） Social（pro）

Social Exchange

0x07时间线

2017年12月19日 Wordfence 事件披露

2017年12月20日 360CERT及时跟进，完成分析报告

2017年12月21日 360CERT对外发布预警

0x08参考链接https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

https://wordpress.org/support/topic/backdoor-2/

https://plugins.trac.wordpress.org/changeset/1780758/captcha