RansomWaPe v.1: primer ransomware para WordPress

Lo prometido es deuda. Ya había comentando en algunos sitios que llevaba tiempo trabajando en crear un pequeño ransomware para WordPress para usarlo en las diferentes charlas y talleres que doy sobre seguridad de este gestor de contenido. Por ejemplo la del próximo 12 de diciembre en el congreso Sec/Admin.

ransomwapeMi finalidad es totalmente educativa y para realizar las diferentes pruebas he usado un pequeño laboratorio en casa con un Apache, MySql y WP montados en local. El plugin ha sido bautizado con el nombre de “RansomWaPe“, he decidido llamarlo así para jugar un poco con las letras principales de “WordPress” y su forma abreviada de escribirlo “WP”, con la funcionalidad del plugin que es ransomware.

¿Qué es un ransomware?ransomware

Buscando en Google encontramos un montón de información. Quizás nos venga a la cabeza rápidamente son el famoso CryptoLocker/Cryptowall y la noticia de los “nuevos” ransomware orientados a servidores linux. También el conocido virus de la policía que hemos visto como ha ido evolucionando adaptándose para engañar a las víctimas.

Volviendo hablar del plugin este solo podrá ser utilizado en caso de post-explotación de una web con WP. El atacante instalará el plugin y automáticamente al activarse se cifrará los contenidos y títulos de las entradas del blog. De momento en esta versión solo cifrará eso aunque se puede ampliar a todo el contenido de la base de datos, sin afectar al funcionamiento del sistema.

En este caso tendremos 2 partes: el plugin y el servidor con la API que escuchará las peticiones de las victimas devolviendo la clave de cifrado. Se guardará junto al ID, URL de la víctima y hora de la inserción de los datos de las entradas en la base de datos

FUN-ransomwape

Como podéis ver el funcionamiento es muy simple. Algunas de las  mejoras que se pueden aplicar es el cifrado de la base de datos del servidor anticipando que si se llegará a encontrar el servidor no puedan tan fácilmente obtener las claves para descifrar los datos. También se podría pasar la petición de la víctima por un tunel de tal manera que dificulte el rastreo de las comunicaciones cliente-servidor. Y así mil cosas…

Más adelante publicaré un plugin anti-ransomware para WordPress y varias entradas dedicadas al forense en WordPress que está siendo atacado o ha sido atacado. Todo esta información estará con antelación en los diferentes cursos y talleres que doy. Si estás interesado en asistir alguno puedes enterarte a través del blog de QuantiKa14 o mi Twitter.

Os dejo un vídeo del funcionamiento del bichito.

Por lo demás deciros que también publicaré un video de como funciona el código para las pequeñas modificaciones que se pueden hacer y la instalación del servidor. ¡Un saludo!

descargar

 

 

Advertisements

Wecino.py: IP REVERSE AND WP DETECT

Saludos, hoy vengo a hablaros con esta segunda entrada de este blog de una pequeña idea que me entro para uno de mis pequeños minions (bots) de Triana.

Un servidor web se puede configurar para servidores con múltiples hosts virtuales desde una única dirección IP. kcms1Esta es una técnica común en muchas webs y puede ser una excelente manera de ampliar la superficie de ataque cuando se va auditar un servidor o aplicación web. Por ejemplo, si el target principal objetivo parece ser seguro podemos ser capaz de obtener acceso al sistema al atacar a un sitio menos seguro alojado en el mismo servidor, evitando así las medidas de seguridad de nuestro objetivo principal.

Sabiendo esto vamos a pensar también en la posibilidad de no solo tener un listado de las webs que estén alojados en el mismo servidor si no saber si cada una de esas webs usan algún gestor de contenido conocido. Cuanta más información obtengamos para posteriormente encontrar vulnerabilidades es bienvenida por lo cual he creado un script que lista estos dominios y accede a cada web buscando características que puedan darnos información sobre que CMS usa. 

De momento esta es la versión 1.0 y la detección solo es para las webs que usan WordPress en las próximas versiones iré implementando más gestores de contenido como: Joomla, Drupal, Moodle, Prestashop, etc.

La detección del WP es también bastante sencilla asunto que debo mejorar ya que, de momento lo primero que hace es buscar en el código “xmlrpc.php” y si es positivo extraer la versión. El xmlrpc.php es el archivo PHP que usa con ese nombre WP para la publicación de post remotamente a través del protocolo XML-RPC.

Una definición sencilla para WECINO.py es: escaner de páginas webs alojadas en el mismo servidor y detección de CMS y vulnerabilidades.

¿Vulnerabilidades? si, quiero implementar en la próxima versión que después de detectar que gestor de contenido use permita pasar un escaner de vulnerabilidades de plugins, componentes y themes.

Para descargar Wecino.py puedes hacerlo desde el siguiente enlace:

descargar