本周,我们将讨论一个WordPress插件中的漏洞,一个新的Linux恶意软件,以及一个名为Osquery的开源工具。让我们马上开始吧
隐藏我的WP的SQL注入漏洞 (CVE-2021-36916)
根据该插件的网页,Hide My WP是一个WordPress插件,可以将你的网站隐藏起来,不被攻击者、垃圾邮件发送者和主题探测器发现。截至目前,它有超过26000名活跃用户。根据patchstack的报告,这个插件在6.2.3之前的版本容易受到未经认证的SQL注入攻击。Patchstack建议将这个插件更新到6.2.4版本,以缓解这一漏洞。
CronRAT Linux恶意软件
由Sansec发现,CronRAT是一个针对电子商务服务器的Linux恶意软件。像许多RAT(远程访问木马)一样,它为攻击者提供了使用C2(命令和控制)服务器对受影响系统的远程访问,并允许RAT操作员运行任何代码。
根据这篇文章,它的主要功绩是隐藏在Linux的日历子系统中(也被称为'cron'),在一个不存在的日子。它还使用自定义的二进制协议与运营商的服务器进行通信,以避免被防火墙和入侵检测系统等常见检测机制发现。你可以查看Sansec写的文章,收集关于这个恶意软件的IoCs的信息。
Osquery & FleetDM
Osquery最初由Facebook开发,是一个开源项目,它将一个操作系统暴露为一个高性能的关系型数据库。这使得它的用户可以使用SQLite查询来查询它所安装的设备的各种信息。这些信息可以是运行的进程、加载的内核模块、开放的网络连接、浏览器插件、硬件事件、文件哈希值等等。我们积极使用Osquery和其他开源工具来监控我们的基础设施。
另一个免费的开源工具FleetDM允许你将Osquery代理部署到多个设备上并轻松管理它们。你可以安排查询,编写查询包,并使用FleetDM提供的Web界面执行威胁猎取。看看这个提供预写查询包的资料库,如果你部署了自己的Fleet,就可以开始运行了。
行动中的Osquery
为了证明Osquery的实用性,我们要看一下CronRAT的一个IoCs。根据这篇文章,一个指标是这个RAT在一个不存在的日子,即2月31日,将自己隐藏成一个cronjob。我们可以使用下面的查询来寻找写在这个特定日期运行的cronjob:
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;这个查询将使用Osquery管理的crontab表从目标设备收集信息。你可以查看模式,了解在不同操作系统上可以查询的表的详细情况。
对开源工具的贡献,同时分享社区的知识,有助于我们所有系统的安全。我们将在接下来的安全摘要中分享更多关于我们用来保护基础设施的工具。同时,我们希望听到你最喜欢的开源安全工具。欢迎在下面留言,并继续关注我们的更多更新。
注释