本周,我们将讨论 WordPress 插件中的一个漏洞、一种新型 Linux 恶意软件和一个名为 Osquery 的开源工具。让我们直接进入主题!
隐藏我的 WP SQL 注入漏洞 (CVE-2021-36916)
据该插件的网页介绍,Hide My WP 是一个 WordPress 插件,可以让你的网站免受攻击者、垃圾邮件发送者和主题检测器的攻击。截至本文撰写之时,该插件已有 26,000 多名活跃用户。根据patchstack 报告,该插件 6.2.3 之前的版本易受未经验证的SQL 注入攻击。Patchstack 建议将此插件更新至 6.2.4 版本,以缓解此漏洞。
CronRAT Linux 恶意软件
由 Sansec 发现的 CronRAT 是一款针对电子商务服务器的 Linux 恶意软件。与许多 RAT(远程访问木马)一样,它允许攻击者使用 C2(命令与控制)服务器远程访问受影响的系统,并允许 RAT 操作员运行任何代码。
文章称,它的主要功能是隐藏在 Linux 的日历子系统(也称为 "cron")中,在一个不存在的日子里运行。它还使用自定义二进制协议与操作员的服务器进行通信,以避免被防火墙和入侵检测系统等常见检测机制检测到。您可以查看 Sansec 撰写的文章,收集有关该恶意软件 IoC 的信息。
Osquery & FleetDM
Osquery 最初由 Facebook 开发,是一个开源项目,它将操作系统公开为一个高性能关系数据库。这样,用户就可以使用 SQLite 查询来查询操作系统所安装设备的各种信息。这些信息包括正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件、文件哈希值等。我们积极使用 Osquery 和其他开源工具来监控我们的基础设施。
另一款免费开源工具FleetDM 可让您在多个设备上部署 Osquery 代理,并轻松对其进行管理。你可以使用 FleetDM 提供的网页界面安排查询、编写查询包和执行威胁猎杀。查看这个提供预编写查询包的存储库,如果你部署了自己的舰队,就可以立即投入使用。
运行中的 Osquery
为了证明 Osquery 的实用性,我们来看看 CronRAT 的一个 IoC。根据这篇文章,一个指标是这个 RAT 在一个不存在的日子(即 2 月 31 日)以 cronjob 的形式隐藏自己。我们可以使用下面的查询来查找写在这个特定日期运行的 cronjobs:
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;该查询将使用 Osquery 管理的crontab表收集目标设备的信息。您可以查看模式,详细了解可在不同操作系统上查询的表。
在共享社区知识的同时为开源工具做出贡献,有助于我们所有人确保系统安全。我们将在接下来的安全文摘中分享更多有关我们用来保护基础设施安全的工具的信息。与此同时,我们也很想听听您最喜欢的开源安全工具。欢迎在下面发表评论,并随时关注我们的更多更新。
注释