Esta semana, vamos falar sobre uma vulnerabilidade num plugin WordPress, um novo malware Linux, e uma ferramenta de código aberto chamada Osquery. Vamos entrar em acção!
Hide My WP SQL Injection Vulnerability (CVE-2021-36916)
De acordo com a página web do plugin, Hide My WP é um plugin WordPress que esconde o seu sítio web de atacantes, spammers, e detectores de temas. A partir desta escrita, tem mais de 26.000 utilizadores activos. De acordo com o relatório patchstack, as versões deste plugin antes da 6.2.3 são vulneráveis a um ataque de injecção SQL não autenticado. O Patchstack aconselha a actualização deste plugin para a versão 6.2.4 para mitigar esta vulnerabilidade.
CronRAT Linux Malware
Descoberto pelo Sansec, CronRAT é um malware Linux que tem como alvo os servidores de eCommerce. Como muitos RATs (Remote Access Trojan), fornece um acesso remoto do atacante ao sistema afectado utilizando um servidor C2 (Command and Control) e permite ao operador da RAT executar qualquer código.
Segundo o artigo, a sua principal proeza está escondida no subsistema de calendário do Linux (também conhecido como 'cron') num dia inexistente. Também utiliza um protocolo binário personalizado para comunicar com o servidor do operador para evitar a detecção por mecanismos de detecção comuns como firewalls e sistemas de detecção de intrusão. Pode consultar o artigo escrito pela Sansec para recolher informações sobre os IoCs para este malware.
Osquery & FleetDM
Osquery, originalmente desenvolvido pelo Facebook, é um projecto de código aberto, e expõe um sistema operativo como uma base de dados relacional de alto desempenho. Isto permite aos seus utilizadores consultar uma vasta gama de informações sobre o dispositivo em que está instalado, utilizando consultas SQLite. Esta informação pode ser processos em execução, módulos de kernel carregados, ligações de rede abertas, plugins de browser, eventos de hardware, hashes de ficheiros, e muito mais. Utilizamos activamente Osquery juntamente com outras ferramentas de código aberto para monitorizar a nossa infra-estrutura.
Outra ferramenta gratuita e de código aberto, FleetDM, permite a utilização de agentes Osquery em múltiplos dispositivos e a sua fácil gestão. Pode agendar consultas, escrever pacotes de consultas, e executar a caça às ameaças usando a interface web fornecida pela FleetDM. Verifique este repositório que fornece pacotes de consulta pré-escritos, para que possa começar a funcionar se implementar a sua própria Frota.
Osquery Em Acção
Para demonstrar a utilidade de Osquery, vamos dar uma vista de olhos a uma das IoCs do CronRAT. Segundo o artigo, um indicador é que esta RAT se esconde como um cronjob num dia inexistente, nomeadamente 31 de Fevereiro. Podemos utilizar a seguinte consulta para procurar trabalhos de cronjobs que são escritos para serem executados nesta data específica:
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;
Esta consulta irá recolher informação do dispositivo alvo utilizando a tabela de crontab que Osquery gere. Pode verificar o esquema para uma visão detalhada das tabelas que podem ser consultadas em diferentes sistemas operativos.
Contribuir para ferramentas de código aberto enquanto partilhamos o conhecimento da comunidade ajuda-nos a todos a proteger os nossos sistemas. Partilharemos mais sobre as ferramentas que utilizamos para proteger a nossa infra-estrutura nas próximas digestações de segurança. Entretanto, gostaríamos de saber mais sobre as suas ferramentas de segurança de código aberto preferidas. Sinta-se à vontade para comentar abaixo e ficar atento a mais actualizações da nossa parte.
Comentários