Análisis de Logs y de Archivos del servidor Web WordPress Hackeado | Continuación de 9,3 Millones de Sitios WordPress Vulnerados a Nivel Mundial




Continuo con los análisis de vector de ataque, propagación y persistencia por parte de este malware que afectó los servidores de una compañía. Los atacantes pudieron iniciar sesión con éxito en el administrador de WordPress ya que encontré usuarios administradores maliciosos creados con nombres aleatorios y correos electrónicos de Outlook.com los cuales son inexistentes.




Aún hay más, el archivo "index.php" del tema JupierX para WordPress fue modificado insertando codigo malicioso que permite a los atacantes realizar la conección remota con los C2.



Busqué informacion relacionada el dia de hoy a una vulnerabilidad del tema JupiterX pero no he encontrado nada relacionado, por lo cual no determino que sea ahí el punto de explotación.

Archivo "index.php" del thema JupiterX modificado por los hackers


Encontré similitud total en este vector de ataque y los procesos de ejecucion en otro blog, pero no veo que lo relacionan o que comparten la información que encuentro en la primer parte de este caso. No puedo confirmar que sea el mismo plugin vulnerable ya que EvalPHP no está en la lista de Plugins instalados en el WP que fue atacado.


Considero que es el mismo agente, con otro vector de ataque pero igual procedimiento de propagacion y persistencia.

Continuando con el Hack.
HACKERS MODIFICAN CÓDIGO DEL WORDPRESS

Durante el analisis de comprotamiento, encontré que el atacante (automatizado  o no) realiza modificaciones en los archivos de trabajo de WordPress, en este caso el "wp-settings.php", en este el hacker incluyó un codigo ofuscado que hace un crash el sitio web, osea, lo deja en error crítico, tal cual fue el caso.


Sitio WordPress con Error Crítico


Log del sistema muestran cuando el atacante de manera deliberada hace un llamado a la funcion para hacer caer en error crítico el sitio, como represalia directa del trabajo que hacia limpiando el CMS y el servidor. 

Logs que muestran el llamado a la función maliciosa


FUNCION MALICIOSA EN "wp-settings.php"

El atacante de manera que pueda mantener el control del CMS/Servidor Web, modifica el código de WordPress y en este caso del Tema JupiterX para incorporrar codigo que permita continuar con el control.

Código malicioso que se agregó al archivo de Wordpress "wp-settings.php"


El código está semiofuscado, pero tiene orden lógico de ejecución el cual detallo brevemente.

Primero se define $shut que contiene un array y una función, el array contiene las cadenas "REGiStEr", "ShutDown" y "f". La función es anónima, no toma argumentos.

Dentro de la función, se establece una variable $_GET[$get] que mediante "inplode" convierte el array en una cadena de texto concatenada, que resulta en "base64decode" formato para decodificar el string hacia donde se hace la solicitud GET. 

String decodificado que apunta al archivo common.ini en un subdominio


Se establece $shut igual a la cadena decodificada, que es un path que apunta a un archivo PHP malicioso "common.ini", en este caso instalado en la ruta de imagenes de WordPress en un subdominio activo.

Después de incluir el archivo PHP, el código verifica si el archivo existe en el sistema utilizando la función file_exists(). Si el archivo existe, se incluye en el script utilizando la función include(), el arroba (@) es para suprimir cualquier mensaje de error que pueda generar la inclusión del archivo.

Luego, se crea una variable $e que contiene la cadena "opcachereset" utilizando la función implode(). Esta variable se usa en una condicional que verifica si la función opcache_reset() existe y si la variable $e es verdadera (no vacía). Si ambas condiciones se cumplen, se llama a la función opcache_reset() para reiniciar el caché de OPcache.

"OPcache es un motor de almacenamiento en caché integrado en PHP. Cuando está habilitado, aumenta drásticamente el rendimiento de los sitios web que utilizan PHP"
Tambien se puede ver que si hay alguna excepcion por parte del codigo malicioso, lo almacena en un archivo de logs que el hacker podrá administrar en busca de tener persistencia.

Además del "wp-settings.php" está la incrustacion de codigo malicioso dentro del "index.php" del tema que esta bajo WordPress, en este caso JupiterX.



Al momento de realizar las pruebas en laboratorio, inmediato la alerta de Windows Defender sobre el archivo malicioso.



Por ahora hasta aqui lo dejo, seguiré la tercera parte con el análisis de los códigos ofuscados, no me voy sin antes darles unas recomendaciones para mejorar la seguridad de su sitio WordPress:
  • Restricción de acceso IP
  • Autenticación multifactor
  • Requisito CAPTCHA
  • Contraseña Segura
  • Limite los intentos de inicio de sesión
  • URL no estándar de acceso (wp-admin.php -> otro link de acceso)

Wiki Tech

9,3 Millones de Sitios WordPress Vulnerados a Nivel Mundial ¿Elementor?

Hace unos dias se descubrió que actores maliciosos están explotando activamente una vulnerabilidad de seguridad en el plugin contructor Elementor Pro para WordPress, considerando que este es el que tuilizamos en la compañia y asi tambien muchos clientes lo utilizan, decidi hacer una revisión  del directiorio raiz del servidor web.


"Se recomienda actualizar Elementor a la versión 3.11.7 lanzada el 22 de marzo"

Esta vulnerabilidad hace posible que un usuario malicioso establezca el rol de usuario predeterminado en administrador para que pueda crear una cuenta que tenga privilegios de administrador al instante, lo fual fue el caso que estoy documentando a continuacion.


A como se puede apreciar en la imagen, se cargaron mas de 20 usuarios nuevos con permisos de administrador, aun queda el trabajo de analizar las contraseñas que aparentan ser aleatorias, pero los correos electronicos asignados son inexistentes dentro de outlook.com, ya hice la revision.

Continuando con la primer idea de revisar el directorio raiz, me encontre con unos archivos los cuales estan nombrados aleatoreamente con externcion php.




Dentro del archivo, un codigo ofuscado a como se observa en la siguiente imagen.



Aqui ya todo apunta mal, tengo que invertir tiempo en analizar el archivo buscando coherencia en su ejecución pero eso queda para otro estudio, como siguiente paso un respaldo de todos los archivos antes de removerlos del servidor para su posterior analisis. Entre estos archivos encuentra uno llamado extension_mod.php, el cual contiene el payload que paso a describir su funcionamiento.



Este código descarga y ejecuta un archivo en el servidor. Si el valor del parámetro "macro_good"que se envia por medio de la URL es igual a 666666, entonces se ejecuta el contenido del parámetro "code", lo que significa que cualquier código malicioso que se le proporcione variable se ejecutará en el servidor.

El script comprueba si la arquitectura del servidor es compatible con una lista de arquitecturas predefinidas. 

Después de la validación de arquitectura, el script descarga un archivo del sitio web "deliverymasters.online/filezr/" remoto y lo guarda en "/tmp/", asi evitando almacenarse en el disco del servidor y minimizando la probabilidad de deteccion, se asigna un nombre de archivo predefinido basado en la arquitectura del servidor, el script luego espera cuatro segundos y cambia los permisos del archivo a 0755.

Al final, el script ejecuta el archivo descargado y devuelve "SUCCESFULL", ya son los administradores.


En la imagen anterior se puede ver el arsenal de archivos maliciosos alojados en el dominio encontrado en el archivo extension_mod.php, los cuales tienen como fecha de carga entre el 14 y el 18 de marzo de 2023.


En el analisis realizado en Virus Total, detecta una variante de Mirai Malware,  esta avriante utiliza los recursos de estos dispositivos para realizar ataques de negacionde servicio o instalando minadores de criptomonedas para bitcoin, monero, etc.

Esta variante segun los datos que del propio sitio web en su dominio principal, lleva infectados mas de 9,3 millones de sitios web a nivel mundial.



Hace no mucho tiempo tenia 2,7 millones de dispositivos infectados

En el dominio principal se concatenan el string "Hello Word" más el numero consecutivo de cada sitio con explotacion activa y exitosa, hasta hoy 7 de abril, mas de 9,3 millones de sitios y contando.



El dominio fue registrado en noviembre de 2022, con registro de propiedad en privado y direccion ip 162.159.25.4, la cual tiene varios servicios activos a como muestra en shodan.




Por ahora lo dejo hasta aqui, próximamente subo la siguiente parte.




Resultados del Analisis a 89 Sitios Web WordPress en Diferentes Industrias Nicaragüenses

Realicé un analisis a 89 sitios web WordPress pertenecientes a diversas industrias en Nicaragua, esto con el fin de determinar el tiempo tra...