Botnet «KashmirBlack», responsable de ataques a CMS como WordPress, Joomla!, Drupal y otros

Fecha: 29/10/2020

En una investigación de seguridad realizada se determinó que una botnet conocida como “KashmirBlack” ha infectado a miles de sitios web desde noviembre del 2019 y continúa creciendo activamente, atacando sistemas de gestión de contenido (CMS) como WordPress, Joomla!, Drupal y otros. El principal objetivo de esta botnet es infectar los sitios web y utilizar los servidores para la minería de criptomonedasredirigir tráfico legítimo del sitio a páginas spam y en menor grado, mostrar deformaciones web.

Según los investigadores, esta red de bots empezó siendo muy pequeña pero luego de meses de crecimiento constante, se ha convertido en una red gigante capaz de atacar miles de sitios por día. Esto se da debido a su infraestructura bien diseñada, que facilita su expansión y la adición de exploits o payloads sin mucho esfuerzo, además de utilizar métodos sofisticados para camuflarse y pasar desapercibido, protegiendo su funcionamiento.

La operación compleja de esta red es administrada por un servidor C&C (Command and Control) que utiliza más de 60 servidores como parte de su infraestructura y maneja cientos de bots, cada uno de los cuales se comunica con el servidor para recibir nuevos objetivos, realizar ataques de fuerza brutainstalar puertas traseras o backdoors expandir el tamaño de la botnet.

La botnet “KashmirBlack” se expande escaneando internet en busca de sitios web vulnerables, que utilicen software desactualizado y luego hace uso exploits de vulnerabilidades conocidas para infectar el sitio y el servidor subyacente.

Afecta generalmente a los sistemas de gestión de contenido más populares, como: WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart, Yeager y otros.

Las principales entidades de esta botnet son:

  • El servidor C&C, máquina centralizada que envía y recibe comandos de las máquinas que son parte de la botnet. Cuenta con 3 roles principales:
    • Proveer un script en Perl para infectar a la víctima
    • Recibir informes de hallazgos y resultados de ataques de los bots
    • Suministrar a los bots instrucciones de ataque
  • Repository A o repositorio A, es un sitio de compra de componentes de impresora que fue comprometido por el atacante y es utilizado como repositorio para almacenar archivos. Su rol principal es el de proveer el script malicioso de la botnet.
  • Repository B o repositorio B, es otro sitio supuestamente legítimo clasificado como una “institución educativa” utilizado por el atacante para almacenar paquetes de exploits y payloads.
  • Repositorio KashmirBlack en Github, el repositorio participa en la fase de ataque permitiendo al atacante descargar webshells PHP y mineros de criptomonedas.
  • Pastebin, sitio web utilizado por el atacante como un medio fácil y rápido de acceder a las puertas traseras descargadas durante la infección.
  • Bot, servidor sobre el cual el atacante tiene control, en KashmirBlack existen dos tipos:
    • Spreading Bot o bot de propagación: se comunica constantemente con el servidor C&C para recibir instrucciones de ataque y se utiliza para infectar a nuevas máquinas.
    • Pending Bot o bot pendiente: sitio de una víctima atacado por un bot de propagación y como resultado, está bajo el control del servidor C&C
KashmirBlack

Por otro lado, durante el periodo de investigación se pudo visualizar que la botnet ha tomado provecho de 16 vulnerabilidades conocidas y abordadas en distintos sistemas, algunas de ellas muy críticas:

  • Ejecución remota de código en PHPUnit – CVE-2017-9841
  • Vulnerabilidad de carga de archivos en jQuery – CVE-2018-9206
  • Inyección de comandos en ELFinder – CVE-2019-9194
  • Vulnerabilidad de carga remota de archivos en Joomla!
  • Vulnerabilidad de tipo Local File Inclusion en Magento – CVE-2015-2067
  • Vulnerabilidad de carga de formularios web en Magento
  • Vulnerabilidad de cargar de archivos arbitrarios en CMS Plupload
  • Vulnerabilidad en Yeager CMS – CVE-2015-7571
  • Múltiples vulnerabilidades de carga de archivos y ejecución remota de código en plugins de múltiples sistemas, la lista completa se encuentra en el siguiente enlace
  • Vulnerabilidad de tipo RFI (Remote File Inclusion) en WordPress TimThumb – CVE-2011-4106
  • Vulnerabilidad de ejecución remota de código en Uploadify
  • Ejecución remota de código en vBulletin Widget – CVE-2019-16759
  • Ejecución remota de código en WordPress install.php – CVE-2011-4899
  • Ataque de fuerza bruta en WordPress xmlrpc.php Login
  • Múltiples vulnerabilidades de ejecución remota de código en plugins y temas de WordPress (la lista completa puede ser visualizada desde el siguiente enlace)
  • Vulnerabilidad de carga de archivos en Webdav

Recomendaciones:

  • Actualizar los archivos del núcleo del CMSplugins y/o módulos de terceros utilizados, con los últimos parches de seguridad proveídos por el fabricante y configurarlos correctamente.
  • Revisar las configuraciones de seguridad el CMS
    • Negar el acceso a archivos y rutas sensibles como install.php, wp-config.php y eval-stdin.php.
    • Utilizar siempre una contraseña segura y robusta, la misma debe esta compuesta de cómo mínimo:
      • 10 Caracteres alfanuméricos,
      • Mayúsculas y minúsculas y
      • Caracteres especiales.
  • Instalar un WAF (Web Application Firewall) para asegurar que el sitio se encuentre protegido.
  • En caso de una infección, existen diversas acciones que deben realizarse:
    • Eliminar los procesos maliciosos;
    • Eliminar archivos maliciosos;
    • Eliminar cron jobs (trabajos programados para ejecutarse a intervalos regulares en el sistema) desconocidos o sospechosos, en el caso de KashmirBlack crea un cron job para obtener la dirección del repositorio A, que será ejecutado cada 3 minutos;
    • Eliminar plugins y temas no utilizados.

Referencias:

Compartir: