php malware analysis
1.0.0
Rough Cut -Analyse des PHP -Quellcodes, den ich durch das Ausführen eines WordPress -Honigtopfs erhalten habe.
Dies zeigt, was meiner Meinung nach die untersten Feeders, die WordPress -Websites hacken, nach illegitimem Zugriff auf eine neue WordPress -Instanz oder -Host haben. Es ist in keiner Weise wissenschaftlich. Ich dekodiere nur die Malware -Stücke, die zu einem Honigtopf ankommen, und ich dekodiere nur die Stücke, die aufgrund der Download-, Verschleierung oder einzigartigen Inhalte interessant erscheinen. Daher sind Kuriositäten überrepräsentiert.
Diese Sammlung von PHP -Malware, die alle in freier Wildbahn zu finden sind, passt in eine Reihe von Kategorien:
Einige Kombinationen treten auf: Web -Shells, insbesondere WSO, werden häufig als Hintertür (PHP -Aktion, RC -Aktion) verwendet. Die Zugangsprüfung ist eine Form der Aufklärung.
Recon sucht manchmal nur, welche CMS/Frameworks vorhanden sind, aber manchmal sammelt jedoch Informationen über Benutzer -ID, Typ und Version von OS, Dateisystem Hinweise, die nur für potenzielle laterale Bewegungen nützlich sind. GetDomains Recon scheint jedoch etwas von beiden zu sein.
Es scheint mir, dass es "Cross -Schneide" -Ate dieser Art von Sammlung und Analyse gibt.
Code, der kompromittierte Website -Dateien für Fragmente von PHP überprüft, die angeben, dass diese Dateien wahrscheinlich Malware sind. Umbenannt, löscht oder repariert Verdächtige Dateien, die wahrscheinlich die meisten von ihnen nicht funktionsfähig machen. Injiziert Code in WSO -Web -Shells, die einen speziellen Cookie -Check als Zugriffskontrolle hinzufügen.
Ein PHP -Manager, der heruntergeladen, ausgeführt und dann löscht, ein Python -Programm, das eine Liste von Domainnamen herunterlädt, Benutzer von WordPress -Blogs auf diesen Domainnamen aufzählt und versucht, funktionierende Passwörter zu erraten. Vermutete Passwörter mit xmlrpc.php -Aufrufen, nicht über die WordPress -Anmeldeseite.
574 Instanzen eines E -Mail -Spam -Tools, das auf 7 verschiedene Arten von Web -Shell heruntergeladen wurde, gefolgt von 559 Versuchen, eine Test -E -Mail über die Spam -Tool -URLs zu senden. Ich schlage ein hypothetisches Design für dieses verteilte System vor.
2019-11-01, erfuhr eine ähnliche Kampagne
Der am stärksten Backdoor -Download, den ich je gesehen habe. Eine WSO 2.1-Web-Shell mit zwei Telefonhäusern lädt auch das Leafmail-Mailing-Tool und eine WSO 2.6-Web-Shell herunter.
Eine Instanz von B374K -Web -Shell, die einen Code aus EXIF -Daten eines GoogleUserContent.com -JPEG -Bildes erhält.
Nachkomme von B374K Web Shell, wahrscheinlich v2.2
Eine von FOPO kodierte WSO-Webshell, die ich von Hand dekodiert habe, weil ich nicht glaubte, dass es wirklich fopocodiert war. Kam in derselben Kampagne an, die die K4x -Shell lieferte.
Web-Shell mit mittlerer Kapazität zusammen mit Login_Wall Fake Plugin heruntergeladen. Kann mit C99 -Web -Shell zusammenhängen.
Eine weitere autokey-kodierte Instanz der ring.php Web-Shell. Die Verschleierung hat sich geändert, und dies war nicht Teil eines Login_wall -Downloads.
gsptg.php scheint zu versuchen, Web -Crawler, Spinnen, Suchmaschinen und Bots davon zu überzeugen, oft zurückzukommen. Gewöhnliche Menschen sehen wahrscheinlich weiterhin die kompromittierte WordPress -Site, sendet jedoch auch Benutzer, die entweder von .kr -Domänen verwiesen oder die koreanische Sprache in ihren Browsern an neue URLs verwenden.
Heruntergeladen über ring.php
Eine Menge Malware, die zwischen 2017-11-23 und 2018-05-03 empfangen wird, indem sie eine gemeinsame Verschlüsselungsmethode teilen. Die Verschlüsselung scheint aus der WSO 4.x -Serie von Web -Shells zu stammen, hat jedoch einen viel kürzeren Schlüssel (8 gegenüber 44 Bytes). Mindestens 52 verschiedene Downloads, darunter 4 Fälle von MumbleHard Es ist erfrischend, jemanden zu sehen, der eine nicht triviale Verschlüsselung verwendet.
MumbleHard Botnet: Ein Server, der TCP/IP -Verbindungen weitergibt, und eine anhaltende Nutzlast, die von Cron ausgeführt wird, die Code von einem Befehl und einem Steuerserver herunterladen und dann mit dem Ausführen starten kann.
Mein Honigtopf hat über WSO 4.x heruntergeladen und hat einen sich entwickelten MumbleHard gefangen.
Untersuchung der 44 Mumblehard -Instanzen, die ich gefangen habe, um zu sehen, wie der Code und die Methoden im Laufe der Zeit fortschreiten.
Ein passwortgeschütztes, plugin-optimierbares Hintertür.
2019-05-09, ich habe einen Download von V3-01 dieser Hintertür erhalten. Es hat eine Menge lustiger Sachen.
Ein Quttera-Blogeintrag enthält eine unspezifische Beschreibung dieser Hintertoors.
Ein objektorientierter Tropfen, der vom prozedural codierten Code-in-Kookie-Hintertür-Tropfen abgestimmt wurde. Ein Angriff auf ein echtes WSO würde eine ausziehbare Hintertür V2.0-1 hinter sich lassen.
Kampagne, die V1-01 erweiterbare Hintertoors installiert hätte. Die Angreifer versuchten vor der Installation zu überprüfen, wie die Arbeitsweb -Shell -Ziele überprüft werden.
Erfuhr eine zweite Kampagne am 2019-07-07
Eine Hintertür, die jemand versucht hat, allein auf meiner Website über 1 Million Zeit zuzugreifen. Ziemlich dumm an und für sich, aber anscheinend existiert ein unterirdischer Markt für diese Hintertür.
Eine Sammlung von Malware, die sich als Plugin tarnt, das unter aktiver Entwicklung steht.
Eine trojanierte Version eines echten, aber schrecklich veralteten Plugins mit dem Namen "Exec-Php".
B374K hat einen Link zum Herunterladen dieser mäßig fähigen Web -Shell von Pastebin.
Ein fake-ish-Thema, komplett mit einer WSO-Web-Shell, die zu Hause ist, und eine frühere Version von webroot.php .
Ein weiteres kompromittiertes WordPress -Thema, das eine scheinbar zufällige Ergänzung von Malware enthält.
Ein Verwandter von webrot.php oder manchmal als "Webrootv3" bekannt. Mehr Rückenschalen, als Sie einen Stock schütteln können.
Eine mäßig fähige Hintertür: speichert und führt Dateien sowie sofortige PHP -Evaler aus. Verwendet native PHP RC4 -Verschlüsselung für Kennwort und Daten übertragen.
Eine kleine, stark verschleierte, sofortige Hintertür. Die erste Verschleiftungsschicht kann polymorph, von Zeit zu Zeit oder für jede Installation sein.
Erstellt eine .htaccess -Datei, in der Benutzer in Yourstockexpert.su, GoogleBot, Bingbot und Baiduspider umgeleitet werden, einen 404 erhalten.
Nach dem Dateinamen ändert sich auch ein Aufruf des Vigilante Malware Cleaner. Das erscheint nur seltsam, da Beschwerden von ".Suswartworepect" Dateinamen in der Nähe sind, aber nicht überwältigend. Vielleicht Inter-Spamgang Warfare?
Eine WSO 2.5 -Web -Shell, die durch Hinzufügen von Code aus verschiedenen anderen Hacking -Tools stark geändert wird.
3.993 Second WSO (Web Shell von Orb, auch bekannt als "Filesman") Installation, nur acht HTTP -Anfragen, einschließlich eines kalten WordPress -Anmeldes.
Neuartiger, aber seltsam verschleierter WSO 2.5, installiert über apikey.php. apikey.php wäre über ein Plugin -Update mit einem böswilligen Plugin installiert worden, sodass dies nicht so kreisförmig wie möglich ist, wären apikey.php über WSO -Instanz installiert.
Ein weiteres WSO 2.5, ein wenig bearbeitet, 2,6 bezeichnet und in einem Tropfenverpackung verpackt, der wahrscheinlich nicht funktioniert. Kam ungefähr eine Stunde nach dem ChinaFans Defacement -Versuch an.
Vor der WSO 2.5 -Webshell -Installation versuchte jemand aus derselben chinesischen IP -Adresse, eine Verpflichtung zu installieren.
Alle Passwörter, die meine Honigtöpfe jemals gesehen haben, haben sich bei WSO -Instanzen angemeldet.
Wie es von einem Web -Exploit -Tool getroffen wird, sieht aus.
Hacking -Tools, die als Plugin getarnt sind und eine Bangladesch -Hacking -Crew implizieren.
Remote -Administrator -Trojaner für WordPress und Joomla.
Anscheinend ein Versuch, den chinesischen Webverkehr durch Linkspamming in ein Macau -Casino zu leiten. Sind Suchmaschinen nicht allzu ausgefeilt, dass dies funktioniert?
Ändert alle .asp-, .aspx-, .php- und .jsp -Datei, die eine Zuordnung zu einem Variablennamen remote_server haben, um dieser Variablen "www.guanjianfalan.com" zuzuweisen.
Hochladen von zwei Zip-Format-Dateien, von denen eines mit einem Comoflaging-Code 2,5 ist. Die andere ZIP-Datei verfügt über eine ausführbare Elf-Format-Datei und ein kleines Stück PHP, um diese ausführbare Datei im Hintergrund auszuführen.
Scheint eine Art Suchmaschinenoptimierung zu sein. Es dient unterschiedliche Ergebnisse für "menschliche" oder "Bot" -Bieter. Wenn es entscheidet, dass Sie ein "Bot" sind, fordert er einen Server nach Text zum Ausfüllen der Vorlage HTML. Wenn dies nicht der Fall ist, wird Text von Ask.com oder yahoo.com erhalten
Tropfen, der eine PHP -Datei hinter sich lässt, die wiederum PHP -Code in die header.php -Datei jedes Themas einfließt. Wenn die Themeninjektion feststellt, dass ein Zugriff aus einem "Bot" stammt (im Grunde jede Suchmaschine, die jemals war, sowie viele Crawler -Bibliotheken), erhält HTML von Zalroews.pw, um an den "Bot" zurückzugeben.
Eine 12-Access-Kampagne zur Installation einer Hintertür. Zugriff auf 12 verschiedene IP-Adressen innerhalb von 20 Sekunden und versucht, eine von 2, individuell-adfuszierten Hintertooren herunterzuladen.
12-Request, ca. 30 Sekunden Kampagne, installiert 2 verschiedene Malwares, Variante WSO 2,5 und Leafmailer.
Native PHP -Sockenserver. Ich sehe oft Perl und sogar zusammengestellte ("Bouncer") Socken -Server heruntergeladen. Können Sie Sockenserver auf einigen unterirdischen Märkten verkaufen? Gibt es einen Wert, wenn Sie so einen Ausschnitt haben?
Eine kurze (11 Sekunden, 17 HTTP -Anfrage) Kampagne, die Perl Simple Socks Server -Code installieren wollte, jedoch fehlgeschlagen ist, wahrscheinlich weil meine WSO -Emulation nicht korrekt genug ist.
Drei Versuche, ein E -Mail -Spam -Tool zu installieren, das 34 Sekunden später versucht, das Tool aufzurufen.
Zwei Versionen von etwas.
C99 Web Shell innerhalb von 10-12 Ebenen der Verschleierung.
Einfache Web -Shell, schreibt sich einer indonesischen URL zu.
Eine einfache Hintertür mit gerade genug Funktionen, damit ein Mensch sie ohne zu viel Automatisierung verwenden kann. Die Verwendung könnte leicht automatisiert werden. Kann insofern geknickt werden, als es selbst eine Hintertür hat, wenn Sie den magischen HTTP -Parameter kennen.
Ein E -Mail -Spam, der über eine WSO -Web -Shell gesendet wurde, die bis 2015 ausgeht. Enthält einen Wachkekse
E -Mail -Spam -Tool, explodiert eine einzige Postanforderung in mehrere E -Mails. Hat eine "Überprüfung" -Funktion, die die IP -Adresse des kompromittierten Maschinens in verschiedenen E -Mail -Black -Listen nachgibt.
Einfacher, einigermaßen sorgfältig codierter Remailer.
Ein weiterer kleiner, sorgfältig codierter Remailer.
WSO "Web Shell von Orb", heruntergeladen von einer zuvor installierten Instanz von WSO.
Ein E -Mail -Spam -Tool mit WSO -Web -Shell angehängt. Komplett mit dem Code "Telefon home", um eine ukrainische Website zu benachrichtigen, die jemand auf das Programm aufgerufen hat.
Weiß, wie man 24 verschiedene CMS -Systeme und Frameworks erkennt. Reagiert auf einen HTTP -Post mit einer serialisierten Zusammenfassung dessen, was CMS und Framework (en) gefunden hat.
In vollem Feiertag, chinesischer Web-Shell, mit einem modernen WebApp-Look.
Umleitet Mobiltelefonbrowser über mod_rewrite comands in document root .htaccess -Datei in eine andere URL.
Laden Sie den PHP -Code herunter, der bei der Ausführung eine HTML -Datei erstellt. Die Download -IP -Adresse hat sofort versucht, auf die HTML -Datei zuzugreifen. Dies ist also wahrscheinlich nur Zugriffsüberprüfung.
Erstellt eine .htaccess -Datei, die möglicherweise zu einer russischen Boner -Pille -Site umleiten kann. Der kommentierte Code könnte nach einer kompromittierten Host -Präsenz auf schwarzen Listen suchen.
Ich vermute, dass dies ein apache -Tool für virtuelle Hostverzeichnisse ist. Sucht nach Verzeichnisnamen mit über 150 Domainnamen, die Suffixe erscheinen, und scheint die russischen und osteuropäischen Landkodizes zu betonen.
Modifizierte PHPSPY -Web -Shell, getarnt als GIF -Datei, heruntergeladen als Themen -Update. Änderungen müssen zumindest einige Etiketten in türkisch wechseln und den Code "Telefon zu Hause" hinzufügen, mit dem jemanden in der Türkei wissen, dass die Web -Shell ausgeführt wurde. Gibt es keine Ehre unter Dieben!?!
Alte SuperfetchExec -PHP -Malware, die immer noch die gleiche alte XOR -Zeichenfolge verwendet, die sie 2012 verwendet hat.
Etwas modifiziertes Web -Shell von Orb, abgeleitet von Version 2.5 oder möglicherweise 2.9. Viele Ebenen der Verschleierung.
Ein echtes (wenn auch möglicherweise nicht lizenziertes) Dateimanager-Plugin, illegas installiert. Interessanter doppelter Einsatz von COTS -Technologie.
E -Mail -Spam -Tool, bei dem alle E -Mail-/Socken/Spam -Parameter in einem HTTP -Cookie übertragen werden.
Ein Vermittler, codiert und verschleiert für meinen speziellen Honigtopf, der als Ausschnitt zwischen dem Downloader und einer anderen Website fungiert. Führt SQL -Injektionstests auf dieser anderen Website durch.
Tropfen, der sich auf eine WSO 2,9 -Variante ausführt, außer der Base64 -Codierung ist durcheinander. Fällt ein PHP -Programm ab, mit dem (a) alle .htaccess -Dateien so löschen können, dass sie Root dokumentieren, oder (b) ein hinterhältiges JavaScript generieren, das Sie auf eine Betrügerwebsite umleitet.
Kleines Stück verdeckte PHP, das Funktionen ausführt, die in HTTP -Cookies auf PHP -Code genannt werden, die ebenfalls in HTTP -Cookies benannt sind. Noch mehr verschleiert als es klingt.
PHP, das ASP-Code injiziert, das selbst HTML-Hyperlinks in das ASP-generierte HTML einbringt. Odd Choice, die auf einer kompromittierten WordPress -Site verwendet werden kann, die wahrscheinlich unter Linux gehostet wird.
Ein WordPress-Thema, das zwei PhpSPy-Web-Shells enthält, und einen webbasierten Dateimanager, der zu Hause telefoniert.
Eine Verschlüsseln von Hintertür.
Zugriff auf Validierung/PHP -Ausführung und Datei -Downloader.
Eine fähigere, robustere Version des apikey.php -Datei -Gateways sowie eine sofortige Bewerbung, die jemand über diese robustere Version heruntergeladen hat.
Ein ziemlich gewöhnliches, unauffälliges Datei -Upload und Download -Dienstprogramm.
Ein "COTS" -E -Mail -Spam -Tool. Ich bin mir jedoch nicht sicher, was Leafmails Geschäftsmodell ist. Scheint kein Weg zu sein, dafür zu bezahlen.
Umbenannte Version von Leafmailer.
Das stimmt, Ood zu weit gegangen, eine objektorientierte sofortige Bewertungs-Hintertür.
Einfacher HTTP -Post -Hintertoor mit einem verdächtigen Dateinamen.
Verwechseln Sie PHP, das möglicherweise zweimal an ihn gesendet wird.
Einfacher Uploader, der einen Textblock ausgibt und seine Fähigkeit zerstört, verborgen zu bleiben.
Eine etwas verschleierte Hintertür, die assert() zu verwenden scheint, um Code zu bewerten, das in einer HTTP -Postanforderung übergeben wurde. Das Akismet -Plugin -Update extrem kaputt, verwendet eine alte Version, wurde aber auch kommentiert.
Komponiert und gibt eine maschinell parsable Zeichenfolge mit Informationen zum Dateisystem des Webservers, der Benutzer-ID PHP oder dem Webserver und der Ausgabe "Uname" zurück. Nichts über den Webserver, was sinnvoll ist, da dieser Rekontrollcode auf das heruntergeladen wurde, als er eine bereits bestehende Hintertür darstellt.
WSO 2.5 Web Shell mit einer neuartigen 2-stufigen Verschleierung. Der Angreifer fügte auch einen Code für Anti-Forschung-Discovery hinzu. Am amüsantesten.
PHP -Datei wurde über WSO heruntergeladen, das einige codierte PHP decodiert und bezieht. Einige Verschleierung sowohl der codierten PHP -Nutzlast als auch der dekodierenden PHP.
E -Mail -Spam, der Download funktioniert wahrscheinlich in 3 verschiedenen Web -Shells oder Hintertooren. Mein Honigtopf scheint Teil einer Spam -Kampagne zu sein.
Eine Instanz des Web -Front -End -E -Mail -Spam -Tools "Rebels Mailer", des sofortigen PHP -Bewerters und der Backdoor der lokalen Dateieinschluss.
Kleiner PHP -Programm, mit dem Post -Parameter -Werte zum Senden von E -Mails von der gefährdeten Maschine verwendet werden können, wodurch der wahre Ursprung der E -Mail verbergt wird.
Unkomplizierte PHP -Datei. Der tatsächliche Download -Versuch erscheint doppelt, vermutlich, damit 2 verschiedene Web -Shells installiert werden können.
Der Installateur für etwas, um eine gefährdete WordPress -Site in eine SEO -Site zu verwandeln, die wahrscheinlich Online -Pharmazeutika an japanische oder chinesische Benutzer einbricht.
Ein tatsächlicher leichter, schneller Dateimanager, der unter GNU GPL V2 lizenziert wurde.
Smallish, 297-Line-of-Code-Dateimanager, auf türkisch.
Eine weitere App für ein Dateimanager für "Hacker".
PHP in WSO Web Shell heruntergeladen. Wenn Sie mit ordnungsgemäßen Parametern aufgerufen werden, können Sie überprüfen, ob sich der Hostname, auf dem es sich befindet, in Googles sicherem Browsen als unsicher oder in der Blockliste von Spamhaus befindet.
Interaktive Webseite, auf der eine Test -E -Mail an die Auswahl der Adressen des Invokers sendet.
Laden Sie die sofortige Eval -Aktion von WSO herunter. Tests, wenn es eine Datei schreiben kann, und dann möglicherweise einfache Arithmetik in PHP ausführen.
Eine einzige HTML -Datei, dank Suleiman Haker aus Saudi -Arabien! Suliman Haker schreibt jedoch qualitativ hochwertige HTML.
