php malware analysis
1.0.0
التحليل الخشن لقطع المصدر PHP الذي حصلت عليه من خلال تشغيل وعاء عسل WordPress.
يوضح هذا ما أعتقد أن المغذيات السفلية الذين يخترقون مواقع WordPress ، بمجرد أن يكون لديهم وصول غير شرعي إلى مثيل أو مضيف جديد WordPress. انها ليست علمية بأي شكل من الأشكال. أنا فقط فك تشفير قطع البرامج الضارة التي تصل إلى وعاء عسل واحد ، وأنا فقط فك تشفير تلك القطع التي تبدو مثيرة للاهتمام بسبب طريقة التنزيل أو التشويش أو المحتوى الفريد. الشذوذ تم تمثيله المفرط بسبب ذلك.
هذه المجموعة من البرامج الضارة PHP ، وكلها الموجودة في البرية ، تتناسب مع عدد من الفئات:
تحدث بعض المجموعات: غالبًا ما يتم استخدام قذائف الويب ، وخاصة WSO ، كخلف (ACTION PHP ، ACTION RC). التحقق من الوصول هو شكل من أشكال الاستطلاع.
في بعض الأحيان ، تبحث Recon في بعض الأحيان في ما توجده CMS/Frameworks ، ولكن في أوقات أخرى تجمع معلومات حول معرف المستخدم ونوعه وإصداره من نظام التشغيل ، وتلميحات نظام الملفات ، والمفيدة فقط للحركات الجانبية المحتملة. يبدو أن GetDomains Recon كشيء من كليهما.
يبدو لي أن هناك جوانب "قطع متقاطعة" لهذا النوع من التجميع والتحليل.
الرمز الذي يتحقق من ملفات الموقع الإلكتروني للخطر لشظايا PHP التي تشير إلى أن هذه الملفات ربما تكون برامج ضارة. إعادة تسمية أو حذف أو إصلاح الملفات المشتبه فيها ، والتي ربما تجعل معظمها غير صالحة للعمل. حقن التعليمات البرمجية في WSO Web Shells التي تضيف فحص ملفات تعريف الارتباط الخاصة كعنصر تحكم في الوصول.
مدير PHP الذي يقوم بتنزيل ، يعمل ، ثم يحذف ، وهو برنامج Python يقوم بتنزيل قائمة بأسماء النطاقات ، ويعدد مستخدمي مدونات WordPress على أسماء النطاقات هذه ، ويحاول تخمين كلمات مرور العمل. تخمين كلمات المرور باستخدام مكالمات xmlrpc.php ، وليس من خلال صفحة تسجيل الدخول إلى WordPress.
574 مثيلات أداة البريد العشوائية عبر البريد الإلكتروني تم تنزيلها إلى 7 أنواع مختلفة من Web Shell ، تليها 559 محاولة لإرسال بريد إلكتروني اختبار من خلال عناوين URL لأداة البريد العشوائي. أقترح تصميمًا افتراضيًا لهذا النظام الموزع.
2019-11-01 ، استحوذت على حملة مماثلة
أكثر تنزيل الورق الذي رأيته على الإطلاق. قذيفة ويب WSO 2.1 ، مع اثنين من homes الهاتف ، تقوم أيضًا بتنزيل أداة Moxmail البريدية ، وقذيفة ويب WSO 2.6.
مثيل لـ B374K Web Shell ، والتي تحصل على بعض التعليمات البرمجية من بيانات EXIF لصورة googleusercontent.com JPEG.
سليل قذيفة الويب B374K ، ربما v2.2
ويب WSO مشفرة من FOPO والتي قمت بتوفيرها يدويًا لأنني لم أكن أعتقد أنه كان مشفرًا حقًا. وصل في نفس الحملة التي قدمت قذيفة K4X.
تم تنزيل قذيفة الويب المتوسطة القابلية للتنزيل مع البرنامج المساعد المزيف login_wall. قد تكون مرتبطة بـ C99 Web Shell.
مثيل آخر مشفر من قذيفة الويب ring.php . لقد تغير التشويش ، ولم يكن هذا جزءًا من تنزيل login_wall.
يبدو أن gsptg.php يحاول إقناع زحف الويب والعناكب ومحركات البحث والروبوتات للعودة كثيرًا. من المحتمل أن يستمر البشر العاديون في رؤية موقع WordPress المعرض للخطر ، ولكنه يرسل أيضًا المستخدمين إما المشار إليه بواسطة. KR ، أو استخدام اللغة الكورية في متصفحاتهم إلى عناوين URL الجديدة.
تم تنزيله عبر ring.php
مجموعة من البرامج الضارة التي تم استلامها بين 2017-11-23 و 2018-05-03 تقاسم طريقة مشتركة للتشفير. يبدو أن التشفير من سلسلة WSO 4.x من قذائف الويب ، ولكن لديه مفتاح أقصر بكثير (8 مقابل 44 بايت). ما لا يقل عن 52 تنزيلًا مختلفًا ، بما في ذلك 4 حالات من Mumblehard ، من المنعش رؤية شخص يستخدم تشفيرًا غير تافهة.
Mumberhard Botnet: خادم يقوم بترحيل اتصالات TCP/IP ، وحمولة ثابتة ، تنفذها CRON ، يمكنها تنزيل التعليمات البرمجية من خادم الأمر والتحكم ، ثم ابدأ تشغيله.
تم تنزيله عبر WSO 4.x ، اشتعلت وعاء العسل Mummumphard المتطور.
فحص مثيلات Mumbhard 44 التي اشتعلت ، لمعرفة كيف يتقدم الكود والأساليب مع مرور الوقت.
الباب الخلفي المحمي ، والمكون الإضافي.
2019-05-09 ، حصلت على تنزيل من V3-01 من هذا الباب الخلفي. لديها الكثير من الأشياء الممتعة فيه.
يعطي إدخال مدونة Quttera وصفًا غير محدد لهذه العوامل الخلفية.
قطارة موجهة نحو الكائنات ، تنحدر من قطرة الباب الخلفي في الكود الخلفي. هجوم على WSO حقيقي سيترك وراءه الباب الخلفي القابل للتمديد v2.0-1.
الحملة التي من شأنها أن تثبت V1-01 الخلفية القابلة للتمديد. حاول المهاجمون التحقق من أهداف WSO Web Shell قبل التثبيت.
اشتعلت حملة ثانية في 2019-07-07
باب خلفي حاول شخص ما الوصول إلى أكثر من مليون مرة على موقع الويب الخاص بي وحده. غبي جدا في حد ذاته ، ولكن يبدو أن سوق تحت الأرض لهذا الباب الخلفي موجود.
مجموعة من البرامج الضارة التي تتنكر كمكون إضافي ، هذا تحت التطوير النشط.
نسخة من طراز حصان من مكون إضافي حقيقي ، ولكنه بعيد المنال ، يسمى "exec-php".
B374K لديه رابط لتنزيل هذه القذيفة ويب قادرة بشكل معتدل من Pastebin.
سمة مزيفة ، مع قذيفة ويب WSO التي تُنزلق إلى المنزل ، وإصدار سابق من webroot.php .
موضوع آخر للخطر WordPress ، يحتوي على مكمل عشوائي على ما يبدو من البرامج الضارة.
قريب من webrot.php ، أو في بعض الأحيان المعروف باسم "WebRootv3". قذائف الظهر أكثر مما يمكنك التخلص من العصا.
الباب الخلفي القادر بشكل معتدل: يحفظ وتنفيذ الملفات ، بالإضافة إلى PHP Eval الفوري. يستخدم تشفير PHP RC4 الأصلي لكلمة المرور والبيانات التي تم نقلها.
باب صغير فوري للغاية. قد تكون الطبقة الأولى من التشويش متعددة الأشكال ، أو إعادة تشكيلها في كثير من الأحيان ، أو لكل تثبيت.
ينشئ ملف .htaccess يعيد توجيه المستخدمين إلى yourstoCkexpert.su و Googlebot و Bingbot و BaidusPider GAT A 404.
قم بإلغاء تغيير أي اسم ملف قد يقوم به الاحتجاج من نظافة البرامج الضارة Vigilante أيضًا. هذا يبدو غريبًا فقط ، نظرًا لأن ".Suseded -Exced" ، تكون شكاوى اسم الملف موجودة ، ولكنها ليست ساحقة. ربما حرب inter-spamgang؟
تم تعديل قشرة الويب WSO 2.5 بشكل كبير عن طريق إضافة رمز من مختلف أدوات القرصنة الأخرى.
3.993 Second WSO (Web Shell by ORB ، AKA "Filesman") ، فقط ثمانية طلبات HTTP ، بما في ذلك تسجيل الدخول إلى WordPress البارد.
رواية ، ولكن بشكل غريب wso 2.5 ، مثبت عبر apikey.php. تم تثبيت apikey.php عبر تحديث مكون إضافي باستخدام مكون إضافي ضار ، لذلك ليس دائريًا كما كان يمكن أن يكون ، تم تثبيت apikey.php عبر مثيل WSO.
آخر WSO 2.5 ، تم تحريره قليلاً ، ودعا 2.6 وتم تعبئته في قطارة ربما لا تعمل. وصل بعد حوالي ساعة من محاولة تشويه الصين.
قبل تثبيت WSO 2.5 WebShell ، حاول شخص من نفس عنوان IP الصيني تثبيت تشويه.
جميع كلمات المرور التي شاهدتها أواني العسل التي شاهدتها على الإطلاق لتسجيل الدخول إلى مثيلات WSO.
ما يبدو عليه الحصول على أداة استغلال الويب.
أدوات القرصنة المتنايرة كمساعد ، تورط طاقم القرصنة بنغلاديش.
أحصنة طروادة المسؤول عن بعد لكل من WordPress و Joomla.
يبدو أن محاولة لتوجيه حركة المرور الصينية على الويب إلى كازينو ماكاو عن طريق ربط البريد العشوائي. أليس محركات البحث متطورة للغاية بحيث لا تعمل هذا؟
يعدل كل ملف .asp ، .aspx ، .php و .jsp التي لها مهمة إلى اسم متغير remote_server لتعيين "www.guanjianfalan.com" لهذا المتغير.
تحميلات من ملفات zip-format ، أحدهما WSO 2.5 مع بعض رمز التهوية. يحتوي ملف zip الآخر على قابلة للتنفيذ قابلة للتنسيق وقطعة صغيرة من PHP لتشغيل هذا القابل للتنفيذ في الخلفية.
يبدو أن نوعًا من شيء تحسين محرك البحث. إنه يخدم نتائج مختلفة للمدعين "البشري" أو "الروبوت". عندما تقرر أنك "روبوت" ، فإنه يطلب خادمًا للنص لملء القالب HTML. إذا فشل ذلك ، فإنه يحصل على نص من Ask.com أو yahoo.com
Dropper الذي يترك ملف PHP وراءه ، والذي بدوره يضخ رمز PHP في ملف header.php لكل موضوع. إذا قرر حقن السمة أن الوصول إلى "روبوت" (في الأساس كل محرك بحث كان على الإطلاق ، بالإضافة إلى الكثير من مكتبات الزاحف) ، فإنه يحصل على HTML من Zalroews.PW للعودة إلى "الروبوت".
حملة 12-الوصول لتثبيت الباب الخلفي. تصل من 12 عناوين IP مختلفة في غضون 20 ثانية ، في محاولة لتنزيل واحدة من 2 ، على حدة من الظهر.
تقوم 12-Request ، بحوالي 30 ثانية ، بتثبيت 2 malwares مختلفة ، متغير WSO 2.5 ، و Leafmailer.
خادم الجوارب PHP الأصلي. غالبًا ما أرى خوادم الجوارب التي تم تجميعها ("Bouncer") تم تنزيلها. هل يمكنك بيع خوادم الجوارب في بعض الأسواق تحت الأرض؟ هل هناك قيمة في الحصول على قطع مثل هذا؟
حملة قصيرة (11 ثانية ، 17 طلب HTTP) التي أرادت تثبيت رمز خادم Perl البسيط ، لكنها فشلت ، ربما لأن محاكاة WSO الخاصة بي ليست دقيقة بما فيه الكفاية.
ثلاث محاولات لتثبيت أداة البريد العشوائي عبر البريد الإلكتروني ، تتميز بمحاولات لاستدعاء الأداة بعد 34 ثانية.
نسختان من شيء ما.
قذيفة الويب C99 داخل مستويات 10-12 من التشويش.
قذيفة ويب بسيطة ، يعزو نفسه إلى عنوان URL الإندونيسي.
باب خلفي بسيط ، مع ميزات كافية للسماح للإنسان باستخدامه دون الكثير من الأتمتة. يمكن أن يكون الاستخدام تلقائيًا بسهولة. قد تكون ملطخة ، لأنه يحتوي على الباب الخلفي نفسه ، إذا كنت تعرف معلمة HTTP السحرية.
البريد العشوائي عبر البريد الإلكتروني المرسل عبر قذيفة ويب WSO ، يرجع تاريخها إلى عام 2015. يحتوي على ملف تعريف الارتباط اليقظة
أداة إرسال بريد إلكتروني إلى البريد العشوائي ، تنفجر طلب نشر واحد في رسائل بريد إلكتروني متعددة. لديه وظيفة "التحقق" التي تبدو عناوين IP الخاصة بالآلة في مختلف القوائم السوداء عبر البريد الإلكتروني.
بسيطة ، معقولة مشفرة بعناية.
آخر صغير ، مشفر بعناية.
WSO "Web Shell by ORB" ، تم تنزيله بواسطة مثيل تم تثبيته مسبقًا من WSO.
أداة البريد العشوائي عبر البريد الإلكتروني ، مع إلحاق WSO Web Shell. مع استكمال رمز "Home Home" لإخطار موقع ويب الأوكراني بأنه قام شخص ما بالتذكير بالبرنامج.
يعرف كيفية التعرف على 24 أنظمة وأطر مختلفة من CMS. يستجيب لنشر HTTP مع ملخص متسلسل لما وجدته CMS والإطار (الإطار).
قذيفة ويب اللغة الصينية الكاملة الميزة ، مع نظرة ويب حديثة.
يعيد توجيه متصفحات الهاتف المحمول إلى عناوين URL الأخرى عبر mod_rewrite comands في ملف document root .htaccess .
ينزيل رمز PHP الذي عند تنفيذه ، ينشئ ملف HTML. حاول تنزيل عنوان IP على الفور الوصول إلى ملف HTML ، لذلك ربما يكون هذا مجرد التحقق من الوصول.
ينشئ ملف .htaccess الذي يمكن أن يعيد توجيهه إلى موقع حبوب منع الحمل الروسي. يمكن التعليق على رمز يمكن التحقق من وجود المضيف المعرض للخطر في القوائم السوداء.
أفترض أن هذه أداة استطلاع دليل Apache Virtual Host. يبحث عن أسماء الدليل مع أكثر من 150 اسم المجال الذي يظهر اللواحق ، يبدو أنه يركز على رموز البلد الروسية والشرقية الأوروبية.
تم تعديل phpspy web shell ، متنكرا كملف GIF ، تم تنزيله كتحديث موضوع. التعديلات على الأقل لتغيير بعض العلامات إلى التركية ، وإضافة رمز "Home Home" الذي يتيح لشخص ما في تركيا معرفة أن قشرة الويب قد نفذت. لا يوجد شرف بين اللصوص!؟!
البرامج الخبيثة Superfetchexec PHP القديمة ، لا تزال تستخدم نفس سلسلة XOR القديمة التي كانت تستخدمها في عام 2012.
قذيفة الويب المعدلة إلى حد ما بواسطة ORB ، مستمدة من الإصدار 2.5 ، أو ربما 2.9. العديد من مستويات التشويش.
مُعدِّن حقيقي (وإن كان ربما خارج الترخيص) ، تم تثبيته بشكل غير قانوني. الاستخدام المزدوج المثير للاهتمام لتكنولوجيا COTS.
أداة البريد العشوائي عبر البريد الإلكتروني ، حيث يتم إرسال جميع معلمات البريد الإلكتروني/الجوارب/البريد العشوائي في ملف تعريف الارتباط HTTP.
وسيط ، مشفرة وملعون لوعاء العسل المحدد الخاص بي ، يعمل كقطعة بين التنزيل ، وموقع ويب آخر. يؤدي اختبار حقن SQL على موقع الويب الآخر.
Dropper الذي يعتمد على متغير WSO 2.9 لتنفيذه ، باستثناء أن ترميزه الأساسي 64 هو عابث. يسقط برنامج PHP الذي يمكنه (أ) حذف جميع ملفات .htaccess لأعلى لتوثيق جذر ، أو (ب) إنشاء بعض javaScript المخففة التي تعيد توجيهك إلى موقع على شبكة الإنترنت.
قطعة صغيرة من PHP الغامضة التي تنفذ الوظائف المذكورة في ملفات تعريف الارتباط HTTP على رمز PHP المسمى أيضًا في ملفات تعريف الارتباط HTTP. حتى أكثر شهرة مما يبدو.
PHP الذي يقوم بحقن رمز ASP ، وهذا نفسه يضع ارتباطات HTML التشعبية في HTML المولدة ASP. خيار غريب للاستخدام على موقع WordPress للخطر ، والذي ربما يتم استضافته على Linux.
موضوع WordPress الذي يحتوي على قذائف الويب phpspy ، ومدير ملفات على الويب يعتمد على المنزل.
باب خلفي تشفير.
الوصول إلى التحقق/تنفيذ PHP وتنزيل الملف.
نسخة أكثر قدرة وأكثر قوة من بوابة ملفات Apikey.php ، إلى جانب شخص عكسي فوري تم تنزيله عبر هذا الإصدار الأكثر قوة.
تحميل ملفات عادية غير ملحوظة إلى حد ما وتنزيل الأداة المساعدة.
أداة البريد العشوائي عبر البريد الإلكتروني "COTS". لست متأكدًا من نموذج أعمال Leafmail. لا يبدو أن طريقة لدفع ثمنها.
نسخة تم إعادة تسميتها من Leafmailer.
هذا صحيح ، لقد ذهب OOD بعيدًا جدًا ، وهو باب خلفي فوري موجه نحو الكائن.
بسيطة ، http post postoor ، مع اسم ملف مشبوه.
مربكة PHP التي قد تنفذ رمز المرسلة إليه مرتين.
التحميل البسيط الذي يخرج كتلة من النص ، مما يدمر قدرته على البقاء مخفيًا.
الباب الخلفي المثير للحيوية يبدو أنه يستخدم assert() لتقييم الكود الذي تم تمريره في طلب نشر HTTP. Akismet Plugin Update Broken Brokening ، يستخدم إصدارًا قديمًا ، ولكنه تم التعليق عليه أيضًا.
يقوم بتكوين وإرجاع سلسلة قابلة للتجزئة مع معلومات حول نظام ملفات خادم الويب ، ومعرف المستخدم الذي يقوم بتشغيل PHP أو خادم الويب ، وإخراج "uname". لا شيء عن خادم الويب ، وهو أمر منطقي حيث تم تنزيل رمز Recon هذا إلى ما كان يُعتقد أنه عبارة عن الباب الخلفي الموجود مسبقًا.
WSO 2.5 Web Shell ، مع رواية ، خطوة 2 خطوة. أضاف المهاجم أيضًا بعض كود مكافحة البحث. الأكثر مسلية.
تم تنزيل ملف PHP عبر WSO الذي يدلل و evals بعض PHP المشفرة. بعض التشويش على كل من حمولة PHP المشفرة وفك تشفير PHP.
البريد الإلكتروني البريد العشوائي ، ربما يعمل التنزيل في 3 قذائف ويب مختلفة أو عوامل خلفية. يبدو أنه جزء من حملة البريد العشوائي ، فقد اشتعلت وعاء العسل الخاص بي رسائل بريد إلكتروني إضافية ومختلفة قليلاً.
مثيل لأداة البريد العشوائي عبر البريد الإلكتروني "Rebels Mailer" على الويب ، ومقيّم PHP الفوري ، و Backdoor لإدراج الملفات المحلية.
برنامج PHP الصغير الذي يمكنه استخدام قيم Post Parameter لإرسال بريد إلكتروني من الجهاز المعرض للخطر ، وإخفاء الأصل الحقيقي للبريد الإلكتروني.
إعادة صياغة ملف PHP مباشرة. تظهر محاولة التنزيل الفعلية مزدوجة ، ويفترض أنها تسمح 2 قذائف ويب مختلفة بتثبيتها.
المثبت لشيء يحول موقع WordPress للخطر إلى موقع SEO ، وربما يوسع الأدوية عبر الإنترنت إلى المستخدمين اليابانيين أو الصينيين.
مدير الملفات الخفيف ، المدير السريع ، المرخص له بموجب GNU GPL V2.
Smallish ، 297 سطر مدير الملفات ، في التركية.
تطبيق آخر لمدير ملف ملف واحد لـ "المتسللين".
تم تنزيل PHP إلى WSO Web Shell. عندما يتم الاحتجاج بها باستخدام معلمات (معلمات) احصل على ما إذا كان اسم المضيف موجودًا في تصفح Google الآمن باعتباره غير آمن ، أو في قائمة كتلة SPAMHAUS.
صفحة الويب التفاعلية التي ترسل بريدًا إلكترونيًا إلى اختيار العناوين الخاصة بـ Invoker.
قم بتنزيله على إجراءات WSO الفورية. الاختبارات إذا كان بإمكانه كتابة ملف ، ثم ربما تنفيذ الحساب البسيط في PHP.
تشويه ملف HTML واحد ، بفضل Suleman Haker من المملكة العربية السعودية! Suliman Haker يكتب HTML جودة ، رغم ذلك.
