Esta semana, vamos falar sobre uma vulnerabilidade em um plugin WordPress, um novo malware Linux e uma ferramenta de código aberto chamada Osquery. Vamos direto ao assunto!
Hide My WP SQL Injection Vulnerability (CVE-2021-36916)
De acordo com a página web do plugin, Hide My WP é um plugin WordPress que esconde seu site de atacantes, spammers e detectores de temas. A partir desta escrita, ele tem mais de 26.000 usuários ativos. De acordo com o relatório patchstack, as versões deste plugin antes do 6.2.3 são vulneráveis a um ataque de injeção SQL não autenticada. O Patchstack aconselha a atualização deste plugin para a versão 6.2.4 para mitigar esta vulnerabilidade.
CronRAT Linux Malware
Descoberto pela Sansec, CronRAT é um malware Linux que tem como alvo os servidores de eCommerce. Como muitos RATs (Remote Access Trojan), ele fornece um acesso remoto do atacante ao sistema afetado usando um servidor C2 (Command and Control) e permite que o operador da RAT execute qualquer código.
De acordo com o artigo, seu principal feito está escondido no subsistema de calendário do Linux (também conhecido como 'cron') em um dia inexistente. Ele também usa um protocolo binário personalizado para se comunicar com o servidor do operador para evitar a detecção por mecanismos de detecção comuns como firewalls e sistemas de detecção de intrusão. Você pode conferir o artigo escrito pela Sansec para reunir informações sobre os IoCs para este malware.
Osquery & FleetDM
Osquery, originalmente desenvolvido pelo Facebook, é um projeto de código aberto, e expõe um sistema operacional como um banco de dados relacional de alto desempenho. Isto permite que seus usuários consultem uma ampla gama de informações sobre o dispositivo no qual está instalado, utilizando consultas SQLite. Estas informações podem ser processos em execução, módulos de kernel carregados, conexões de rede abertas, plugins de navegador, eventos de hardware, hashes de arquivos e muito mais. Usamos ativamente o Osquery junto com outras ferramentas de código aberto para monitorar nossa infra-estrutura.
Outra ferramenta gratuita e de código aberto, FleetDM, permite a utilização de agentes Osquery em múltiplos dispositivos e gerenciá-los facilmente. Você pode agendar consultas, escrever pacotes de consultas e realizar caça de ameaças usando a interface web fornecida pela FleetDM. Confira este repositório que fornece pacotes de consulta pré-escritos, para que você possa começar a trabalhar se você implementar sua própria frota.
Osquery Em Ação
Para demonstrar a utilidade do Osquery, vamos dar uma olhada em uma das IoCs do CronRAT. Segundo o artigo, um indicador é que esta RAT se esconde como um cronjob em um dia inexistente, ou seja, 31 de fevereiro. Podemos usar a seguinte consulta para procurar por cronjobs que são escritos para serem executados nesta data específica:
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;Esta consulta coletará informações do dispositivo alvo usando a tabela de crontab que a Osquery gerencia. Você pode verificar o esquema para obter uma visão detalhada das tabelas que podem ser consultadas em diferentes sistemas operacionais.
Contribuir com ferramentas de código aberto enquanto compartilhamos o conhecimento da comunidade nos ajuda a todos a proteger nossos sistemas. Estaremos compartilhando mais sobre as ferramentas que usamos para proteger nossa infra-estrutura nas próximas digestações de segurança. Enquanto isso, gostaríamos de saber mais sobre suas ferramentas de segurança de código aberto favoritas. Sinta-se à vontade para comentar abaixo e ficar atento a mais atualizações nossas.
Comentários