YODA YODA包含4个部分: 插件检测:YODA可以通过识别插件的源和该插件相关的文件来检测所有的
web服务器插件。 恶意行为检测:YODA使用插件代码文件中的文件元数据、敏感API等句法特征和环境相关的语义特征来识别恶意行为。句法分析使用数据流来识别插件代码文件中使用的可疑API。语义模型主要考虑web
shell、注入代码的受保护执行、垃圾邮件、代码混淆、
恶意软件下载、恶意软件广告、加密货币挖矿等。 恶意插件源分析:确定恶意行为的源,更好地理解CMS生态中不同的攻击者入口。恶意插件行为主要来源于无效插件市场、合法插件市场、被注入的插件、受感染的插件。 影响研究:为研究恶意插件对插件市场的影响,YODA提出了与每个插件相关的影响度量。
插件检测结果
恶意行为检测结果
YODA可以部署到网站和web服务器提供商中。除了检测隐藏的恶意插件外,该框架也可以用来识别插件的出处和所有权。 研究人员分析了2012年以来的超过40万个web 服务器中的WordPress插件,其中24931个网站中安装的插件中有47337个插件是恶意的。超过安装超过8年的恶意插件中有94%至今仍在使用。 通过使用YODA,网站所有者和服务提供商可以识别web服务器中的恶意插件,插件开发者和插件市场也可以在分发插件之前对其插件的安全性进行审查评估。 相关研究成果被安全顶会Usenix security 2022安全大会录用,论文下载地址:https://cyfi.ece.gatech.edu/publications/SEC_22.pdf。 YODA工具代码地址:https://github.com/CyFI-Lab-Public/YODA。 本文翻译自:https://thehackernews.com/2022/06/yoda-tool-found-47000-malicious.html如若转载,请注明原文地址。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
21天更文挑战,赢取价值500元大礼,还有机会成为签约作者!
原文地址:http://www.51testing.com/?action-viewnews-itemid-7009649
免责声明:本文来源于互联网,版权归合法拥有者所有,如有侵权请公众号联系管理员
* 本站提供的一些文章、资料是供学习研究之用,如用于商业用途,请购买正版。