php malware analysis
1.0.0
Analyse rugueuse du code source PHP que j'ai obtenu en exécutant un pot de miel WordPress.
Cela illustre ce que je pense que les mangeurs inférieurs qui piratent les sites WordPress, une fois qu'ils ont un accès illégitime à une nouvelle instance ou hôte WordPress. Ce n'est en aucune façon scientifique. Je ne décoche que les logiciels malveillants qui arrivent à un seul pot de miel, et je ne décoche que les pièces qui semblent intéressantes en raison de la méthode de téléchargement, de l'obscurcissement ou du contenu unique. Les bizarreries sont surreprésentées à cause de cela.
Cette collection de logiciels malveillants PHP, tous trouvés dans la nature, s'inscrit dans un certain nombre de catégories:
Certaines combinaisons se produisent: les coquilles Web, en particulier WSO, sont souvent utilisées comme porte dérobée (action PHP, action RC). La vérification d'accès est une forme de reconnaissance.
Recon examine parfois ce que CMS / Frameworks sont présents, mais d'autres fois collecte des informations sur l'ID utilisateur, le type et la version du système d'exploitation, des conseils du système de fichiers, utiles uniquement pour les mouvements latéraux potentiels. GetDomains Recon semble cependant quelque chose des deux.
Il me semble qu'il existe des aspects de «coupe croisée» de ce type de collection et d'analyse.
Le code qui vérifie les fichiers de site Web compromis pour des fragments de PHP qui indiquent que ces fichiers sont probablement des logiciels malveillants. Renomme, supprime ou répare les fichiers suspects, ce qui rend probablement la plupart d'entre eux inopérants. Injecte du code dans les shells Web WSO qui ajoutent une vérification spéciale de cookie comme contrôle d'accès.
Un gestionnaire PHP qui télécharge, exécute, puis supprime, un programme Python qui télécharge une liste de noms de domaine, énumère les utilisateurs de blogs WordPress sur ces noms de domaine et essaie de deviner les mots de passe de travail. Devine les mots de passe à l'aide des appels xmlrpc.php , pas via la page de connexion WordPress.
574 Instances d'un outil de spam de courrier électronique téléchargé sur 7 types de shell Web différents, suivis de 559 tentatives d'envoyer un e-mail de test via les URL de l'outil de spam. Je propose une conception hypothétique pour ce système distribué.
2019-11-01, a capturé une campagne similaire
Le téléchargement le plus arrière que j'ai jamais vu. Un shell Web WSO 2.1, avec deux homtes de téléphone, il télécharge également l'outil de diffusion de carte de feuille et un shell Web WSO 2.6.
Une instance de B374K Web Shell, qui obtient du code à partir des données EXIF d'une image JPEG GoogleSerContent.com.
Descendant de B374K Web Shell, probablement v2.2
Un webshell WSO codé en cocodié que j'ai décodé à la main parce que je ne croyais pas que c'était vraiment un FOPODODED. Arrivé dans la même campagne qui a livré le Shell K4X.
Shell Web à moyenne capacité téléchargé avec Login_wall Fake Plugin. Peut être lié au shell web C99.
Une autre instance codée par Autokey de la coque Web ring.php . L'obscurcissement a changé, et cela ne faisait pas partie d'un téléchargement Login_wall.
gsptg.php semble essayer de convaincre les robots de web, les araignées, les moteurs de recherche et les robots pour revenir souvent. Les humains ordinaires continuent probablement de voir le site WordPress compromis, mais il envoie également les utilisateurs référés par des domaines .KR, soit en utilisant un langage coréen dans leurs navigateurs vers de nouvelles URL.
Téléchargé via ring.php
Un lot de logiciels malveillants a reçu entre 2017-11-23 et 2018-05-03, partageant une méthode commune de cryptage. Le chiffrement semble provenir de la série WSO 4.X de coquilles Web, mais il a une clé beaucoup plus courte (8 vs 44 octets). Au moins 52 téléchargements différents, dont 4 instances de Mumblehard, il est rafraîchissant de voir quelqu'un utiliser un chiffrement non trivial.
Mumblehard Botnet: un serveur qui relaie les connexions TCP / IP, et une charge utile persistante, exécutée par Cron, qui peut télécharger le code à partir d'un serveur de commande et de contrôle, puis de le démarrer en exécution.
Téléchargé via WSO 4.x, mon honey pot a attrapé un Mumblehard évolué.
Examen des 44 instances Mumblehard que j'ai attrapé, pour voir comment le code et les méthodes progressent au fil du temps.
Une porte arrière protégée par mot de passe et extensible au plugin.
2019-05-09, j'ai reçu un téléchargement de la V3-01 de cette porte dérobée. Il y a beaucoup de choses amusantes.
Une entrée de blog QUTTERA donne une description non spécifique de ces dérivations.
Un compte-gouttes orienté objet, est descendu à partir du code de la porte arrière codé à code procédural. Une attaque contre un vrai WSO laisserait derrière lui une porte arrière extensible v2.0-1.
Campagne qui aurait installé des délais extensibles V1-01. Les attaquants ont tenté de vérifier les cibles de shell wso wso qui fonctionnent avant l'installation.
A pris une deuxième campagne le 2019-07-07
Une porte dérobée que quelqu'un a essayé d'accéder à plus d'un million de fois sur mon site Web. Assez stupide en soi, mais apparemment, un marché souterrain pour cette porte dérobée existe.
Une collection de logiciels malveillants se faisant passer pour un plugin, qui est en cours de développement actif.
Une version trojane d'un plugin réel, mais horriblement obsolète, nommé "EXEC-PHP".
B374K a un lien pour télécharger ce shell Web modérément capable de Pastebin.
Un thème faux, avec un shell web wso qui téléphone à la maison et une version antérieure de webroot.php .
Un autre thème WordPress compromis, contenant un complément apparemment aléatoire de logiciels malveillants.
Un parent de webrot.php , ou parfois appelé "webrootv3". Plus de coquilles de dos que vous ne pouvez secouer un bâton.
Une porte dérobée modérément capable: enregistre et exécute des fichiers, ainsi que Php Ev. Utilise le cryptage RC4 PHP natif pour le mot de passe et les données transférées.
Une petite porte dérobée immédiate et très obscurcie. La première couche d'obscurcissement pourrait être polymorphe, refait de temps en temps ou pour chaque installation.
Crée un fichier .htaccess qui redirige les utilisateurs vers yourstockexpert.su, googlebot, bingbot et baiduspider obtiennent un 404.
Rencontre tout nom de fichier modifie qu'une invocation du nettoyant pour les logiciels malveillants pour vigilante pourrait également faire. Cela semble tout simplement bizarre, car les plaintes de nom de fichier "suspendues" sont là, mais pas écrasantes. Peut-être la guerre inter-spamgang?
Un shell Web WSO 2.5 fortement modifié en ajoutant du code à partir de divers autres outils de piratage.
3.993 Deuxième WSO (Web Shell by Orb, aka "Filesman") Installation, seulement huit demandes HTTP, y compris une connexion WordPress froide.
Roman, mais étrangement obscurci WSO 2.5, installé via Apikey.php. apikey.php aurait été installé via une mise à jour du plugin avec un plugin malveillant, donc ce n'est pas aussi circulaire qu'il aurait pu l'être, ont été installés apikey.php via l'instance WSO.
Un autre WSO 2.5, édité un peu, appelé 2.6 et emballé dans un compte-gouttes qui ne fonctionne probablement pas. Arrivé environ une heure après la tentative de dégradation de Chinafans.
Précédant l'installation de la cote Web WSO 2.5, une personne de la même adresse IP chinoise a tenté d'installer une dégradation.
Tous les mots de passe que mes pots de miel ont jamais vus utilisés pour se connecter aux instances WSO.
À quoi ressemble un outil d'exploitation Web.
Outils de piratage déguisés en plugin, impliquant une équipe de piratage bangladaise.
Trojans d'administration à distance pour WordPress et Joomla.
Apparemment, une tentative de diriger le trafic Web chinois vers un casino Macao au moyen d'un spam de liaison. Les moteurs de recherche ne sont-ils pas trop sophistiqués pour que cela fonctionne?
Modifie tous les fichiers .asp, .aspx, .php et .jsp qui ont une affectation à un nom de variable remote_server pour attribuer "www.guanjianfalan.com" à cette variable.
Téléchargements de deux fichiers zip-format, dont l'un est WSO 2,5 avec un code de camoflage. L'autre fichier zip a un exécutable de format ELF et un petit morceau de PHP pour exécuter cet exécutable en arrière-plan.
Semble être une sorte d'optimisation des moteurs de recherche. Il sert différents résultats pour les invocateurs "humains" ou "bot". Lorsqu'il décide que vous êtes un "bot", il demande à un serveur le texte pour remplir le modèle HTML. À défaut, il obtient un SMS à Ask.com ou Yahoo.com
Dropper qui laisse un fichier PHP derrière, qui à son tour injecte le code PHP en fichier header.php de chaque thème. Si l'injection de thème détermine qu'un accès provient d'un "bot" (essentiellement chaque moteur de recherche qui ait jamais été, plus beaucoup de bibliothèques de chenilles), il obtient du HTML de Zalroews.pw pour transmettre au "bot".
Une campagne d'accès pour installer une porte dérobée. Accédez à partir de 12 adresses IP différentes dans les 20 secondes, tentant de télécharger l'une des 2 déambulations à obstruction individuelle.
12-REQUEST, environ 30 secondes campagne, installe 2 Malwares différents, variante WSO 2,5 et feuille de feuille.
Serveur de socks PHP natif. Je vois souvent des serveurs de chaussettes Perl et même compilés ("videur") téléchargés. Pouvez-vous vendre des serveurs de chaussettes sur certains marchés souterrains? Y a-t-il la valeur d'avoir une découpe comme celle-ci?
Une courte campagne (11 secondes, 17 http demande) qui voulait installer le code de serveur de socks simples Perl, mais a échoué, probablement parce que mon émulation WSO n'est pas assez exacte.
Trois tentatives pour installer un outil de spam de courrier électronique, avec des tentatives pour invoquer l'outil 34 secondes plus tard.
Deux versions de quelque chose.
Shell web C99 à l'intérieur de 10-12 niveaux d'obscurcissement.
Simple Web Shell, se crédite à une URL indonésienne.
Une porte dérobée simple, avec juste assez de fonctionnalités pour permettre à un humain de l'utiliser sans trop d'automatisation. L'utilisation pourrait facilement être automatisée. Peut être plié, en ce qu'il a une porte dérobée elle-même, si vous connaissez le paramètre Magic HTTP.
Un spam e-mail envoyé via un shell web WSO, datant de 2015. Contient un biscuit vigilant
Outil de spam de courrier électronique, explose une seule demande de publication en plusieurs e-mails. A une fonction "vérifier" qui recherche l'adresse IP de la machine compromise dans diverses listes de noir par e-mail.
Remarque simple et raisonnablement soigneusement codé.
Un autre petit remailer soigneusement codé.
WSO "Web Shell by Orb", téléchargé par une instance précédemment installée de WSO.
Un outil de spam de courrier électronique, avec WSO Web Shell annexé. Compléter avec le code "Home Phone" pour informer un site Web ukrainien que quelqu'un a invoqué le programme.
Sait reconnaître 24 systèmes et cadres CMS différents. Répond à un article HTTP avec un résumé sérialisé de ce qu'il a trouvé CMS et Framework (s).
Shel Web en chinois complet en chinois, avec un look Webapp moderne.
Redirige les navigateurs de téléphone mobile vers une autre URL via des comandes mod_rewrite dans le fichier .htaccess Document Root.
Télécharge le code PHP qui, lorsqu'il est exécuté, crée un fichier HTML. L'adresse IP de téléchargement a immédiatement tenté d'accéder au fichier HTML, il s'agit donc probablement d'une vérification d'accès.
Crée un fichier .htaccess qui peut peut-être rediriger vers un site de pilule boner russe. Le code commenté pourrait vérifier la présence de l'hôte compromis sur les listes noires.
Je suppose qu'il s'agit d'un outil de reconnaissance du répertoire hôte virtuel Apache. Recherche les noms de répertoires avec plus de 150 noms de domaine apparaissant des suffixes, semble mettre l'accent sur les codes de pays russe et d'Europe de l'Est.
Shell Web PHPSPY modifié, déguisé en fichier GIF, téléchargé en tant que mise à jour du thème. Les modifications sont au moins pour modifier certaines étiquettes en turc et ajouter du code "Home Phone" qui permet à quelqu'un en Turquie de savoir que le shell Web a exécuté. N'y a-t-il pas d'honneur parmi les voleurs!?!
Ancient SuperFetchexEC PHP malware, toujours en utilisant la même ancienne chaîne XOR qu'il utilisait en 2012.
Shell Web quelque peu modifié par ORB, dérivé de la version 2.5, ou peut-être 2.9. De nombreux niveaux d'obscurcissement.
Un plugin de gestionnaire de fichiers réel (bien que peut-être hors licence), installé illégitimement. Double utilisation intéressante de la technologie COTS.
Outil de spam de messagerie, où tous les paramètres de messagerie / chaussettes / spam sont transmis dans un cookie HTTP.
Un intermédiaire, codé et obscurci pour mon pot de miel spécifique, qui agit comme une découpe entre le téléchargeur et un autre site Web. Effectue des tests d'injection SQL sur cet autre site Web.
Le compte-gouttes qui s'appuie sur une variante WSO 2.9 à exécuter, sauf que son codage Base64 est gâché. Dépose un programme PHP qui peut (a) supprimer tous les fichiers .htaccess pour documenter la racine, ou (b) générer un JavaScript sournois qui vous redirige vers un site Web arcmautique.
Petit morceau de PHP obscurci qui exécute des fonctions nommées dans les cookies HTTP sur le code PHP également nommé dans les cookies HTTP. Encore plus obscurci qu'il n'y paraît.
PHP qui injecte du code ASP, qui met lui-même les hyperliens HTML dans le HTML généré par l'ASP. Odd Choice à utiliser sur un site WordPress compromis, qui est probablement hébergé sur Linux.
Un thème WordPress contenant deux shells Web PHPSPY et un gestionnaire de fichiers basé sur le Web qui téléphone à la maison.
Une porte arrière cryportante.
Validation d'accès / exécution PHP et téléchargeur de fichiers.
Une version plus performante et plus robuste de la passerelle de fichiers Apikey.php, ainsi qu'une personne de porte dérobée immédiate téléchargée via cette version plus robuste.
Un utilitaire de téléchargement de fichiers et de téléchargement plutôt ordinaire et banal.
Un outil de spam de courrier électronique "COTS". Je ne sais cependant pas quel est le modèle commercial de la carte de feuille. Cela ne semble pas être un moyen de payer pour cela.
Version rebaptisée de Leaf Mailer.
C'est vrai, OOD est allé trop loin, une porte arrière immédiate orientée objet.
Backdoor simple, HTTP Post, avec un nom de fichier suspect.
Confus de PHP qui pourrait exécuter du code qui lui est envoyé deux fois.
Téléchargeur simple qui étend un bloc de texte, détruisant sa capacité à rester cachée.
Une porte dérobée obscure quelque chose qui semble utiliser assert() pour évaluer le code adopté dans une demande de poste HTTP. La mise à jour du plugin Akismet extrêmement cassé, utilise une ancienne version, mais a également été commentée.
Compose et renvoie une chaîne à charge de machine avec des informations sur le système de fichiers du serveur Web, l'ID utilisateur exécutant PHP ou le serveur Web et la sortie "DESAME". Rien sur le serveur Web, qui n'a du sens car ce code de recondition a été téléchargé sur ce qui était considéré comme une porte dérobée préexistante.
WSO 2.5 web shell, avec un nouvel obscurcissement en 2 étapes. L'attaquant a également ajouté un code anti-recherche. Le plus amusant.
Fichier PHP téléchargé via WSO qui décode et évale un PHP codé. Certains obscurcissent à la fois la charge utile PHP codée et le PHP de décodage.
Spam par e-mail, le téléchargement fonctionne probablement dans 3 shells Web différents ou déchets. Semble faire partie d'une campagne de spam, mon pot de miel a attrapé des e-mails supplémentaires, légèrement différents.
Une instance de l'outil de spam de courrier électronique "Reler Mailer", de l'évaluateur PHP immédiat et de la porte dérobée de l'inclusion de fichiers locaux.
Petit programme PHP qui peut utiliser les valeurs de paramètres de publication pour envoyer un e-mail à partir de la machine compromise, en dissimulant la véritable origine de l'e-mail.
Fichier PHP en rejet simple. La tentative de téléchargement réelle apparaît double, vraisemblablement pour permettre à 2 shells Web différents de l'installer.
Le programme d'installation de quelque chose pour transformer un site WordPress compromis en site de référencement, colportant probablement des produits pharmaceutiques en ligne aux utilisateurs japonais ou chinois.
Un gestionnaire de fichiers léger réel et rapide, sous licence sous GNU GPL V2.
Smallish, 297 lignes de fichiers de code, en turc.
Une autre application de gestionnaire de fichiers à un seul fichier pour "pirates".
PHP a téléchargé sur WSO Web Shell. Lorsqu'il est invoqué avec les paramètres de Get appropriés, il peut vérifier si le nom d'hôte dans lequel il est allumé est dans la navigation sûre de Google comme dangereuse, ou dans la liste de blocs de Spamhaus.
Page Web interactive qui envoie un e-mail de test au choix des adresses de l'invocateur.
Téléchargez l'action EVAM immédiate de WSO. Tests s'il peut écrire un fichier, puis peut-être exécuter l'arithmétique simple dans PHP.
Une seule dégradation de fichiers HTML, grâce au Suleiman Haker d'Arabie saoudite! Cependant, Suliman Haker écrit du HTML de qualité.
