php malware analysis
1.0.0
Analisis pemotongan kasar kode sumber PHP yang saya dapatkan dengan menjalankan pot madu WordPress.
Ini menggambarkan apa yang saya pikir pengumpan bawah yang meretas situs WordPress lakukan, begitu mereka memiliki akses tidak sah ke instance atau host WordPress baru. Ini tidak ilmiah dengan cara apa pun. Saya hanya mendekodekan potongan -potongan malware yang tiba di satu pot madu, dan saya hanya memecahkan kode potongan -potongan yang tampak menarik karena metode pengunduhan, pengayaan atau konten unik. Keanehan terlalu terwakili karena itu.
Koleksi malware PHP ini, semuanya ditemukan di alam liar, cocok dengan sejumlah kategori:
Beberapa kombinasi terjadi: cangkang web, terutama WSO, sering digunakan sebagai pintu belakang (aksi PHP, aksi RC). Verifikasi akses adalah bentuk pengintaian.
Recon kadang -kadang hanya melihat apa yang ada CMS/kerangka kerja, tetapi waktu lain mengumpulkan informasi tentang ID pengguna, jenis dan versi OS, petunjuk sistem file, hanya berguna untuk potensi gerakan lateral. GetDomains Recon sepertinya sesuatu dari keduanya.
Tampak bagi saya bahwa ada aspek "pemotongan silang" dari pengumpulan dan analisis semacam ini.
Kode yang memeriksa file situs web yang dikompromikan untuk fragmen PHP yang menunjukkan file -file tersebut mungkin malware. Ganti nama, menghapus atau memperbaiki file yang dicurigai, yang mungkin membuat sebagian besar tidak beroperasi. Menyuntikkan kode ke dalam cangkang web WSO yang menambahkan cek cookie khusus sebagai kontrol akses.
Manajer PHP yang mengunduh, menjalankan, kemudian menghapus, program Python yang mengunduh daftar nama domain, menyebut pengguna blog WordPress pada nama domain tersebut, dan mencoba menebak kata sandi yang berfungsi. Tebak kata sandi menggunakan panggilan xmlrpc.php , bukan melalui halaman login WordPress.
574 Contoh alat spamming email yang diunduh ke 7 jenis shell yang berbeda, diikuti oleh 559 upaya untuk mengirim email pengujian melalui URL alat spam. Saya mengusulkan desain hipotetis untuk sistem terdistribusi ini.
2019-11-01, menangkap kampanye serupa
Unduhan paling backdoored yang pernah saya lihat. WSO 2.1 Web Shell, dengan dua home telepon itu juga mengunduh alat surat Leafmail, dan WSO 2.6 Web Shell.
Sebuah instance dari B374K Web Shell, yang mendapat beberapa kode dari data EXIF dari gambar JPEG GoogleUserContent.com.
Keturunan B374K Web Shell, mungkin v2.2
WSO webshell fopo-encoded yang saya pegang tangan karena saya tidak percaya itu benar-benar fopo-encoded. Tiba dalam kampanye yang sama yang mengirimkan shell K4X.
Kapel Web Kapabilitas Sedang Diunduh bersama dengan plugin palsu Login_Wall. Mungkin terkait dengan cangkang web C99.
Contoh lain yang dikodekan autokey dari cangkang web ring.php . Kebingungan telah berubah, dan ini bukan bagian dari unduhan login_wall.
gsptg.php tampaknya mencoba meyakinkan perayap web, laba -laba, mesin pencari dan bot yang akan sering kembali. Manusia biasa mungkin terus melihat situs WordPress yang dikompromikan, tetapi juga mengirim pengguna yang dirujuk oleh domain .KR, atau menggunakan bahasa Korea di browser mereka ke URL baru.
Diunduh melalui ring.php
Batch malware yang diterima antara 2017-11-23 dan 2018-05-03 berbagi metode enkripsi yang umum. Enkripsi tampaknya berasal dari seri WSO 4.x shells web, tetapi memiliki kunci yang jauh lebih pendek (8 vs 44 byte). Setidaknya 52 unduhan yang berbeda, termasuk 4 contoh Mumblehard, menyegarkan melihat seseorang menggunakan enkripsi non-sepele.
Mumblehard Botnet: Server yang menyampaikan koneksi TCP/IP, dan muatan yang persisten, dieksekusi oleh Cron, yang dapat mengunduh kode dari server perintah dan kontrol, kemudian mulai berjalan.
Diunduh melalui WSO 4.x, panci madu saya menangkap mumblehard yang berevolusi.
Pemeriksaan 44 contoh Mumblehard yang saya tangkap, untuk melihat bagaimana kode dan metode berkembang seiring berjalannya waktu.
Pintu belakang yang dapat dilindungi kata sandi yang dapat diperluas plugin.
2019-05-09, saya mendapat unduhan V3-01 dari pintu belakang ini. Ini memiliki banyak hal menyenangkan di dalamnya.
Entri blog Qutterna memberikan deskripsi yang tidak spesifik tentang pintu belakang ini.
Penetes berorientasi objek, diturunkan dari code-in-cookie-cookie Door's Dropper. Serangan terhadap WSO nyata akan meninggalkan pintu belakang yang dapat diperpanjang v2.0-1.
Kampanye yang akan menginstal V1-01 Backdoors yang dapat diperpanjang. Para penyerang mencoba memverifikasi target WSO Web Shell yang berfungsi sebelum instalasi.
Menangkap kampanye kedua pada 2019-07-07
Sebuah pintu belakang yang telah dicoba seseorang untuk mengakses lebih dari 1 juta waktu di situs web saya sendiri. Cukup bodoh di dalam dan dari dirinya sendiri, tetapi tampaknya pasar bawah tanah untuk pintu belakang ini ada.
Kumpulan malware yang menyamar sebagai plugin, yang sedang dalam pengembangan aktif.
Versi trojaned dari plugin yang nyata, tetapi ketinggalan zaman, bernama "exec-php".
B374K memiliki tautan untuk mengunduh shell web yang cukup mampu ini dari Pastebin.
Tema palsu-ish, lengkap dengan WSO Web Shell yang telepon rumah, dan versi sebelumnya dari webroot.php .
Tema WordPress lainnya yang dikompromikan, berisi pelengkap malware yang tampaknya acak.
Kerabat webrot.php , atau kadang -kadang dikenal sebagai "webrootv3". Lebih banyak cangkang punggung daripada yang bisa Anda goyang.
Sebuah backdoor yang cukup mampu: Menyimpan dan mengeksekusi file, serta PHP eval langsung. Menggunakan enkripsi PHP RC4 asli untuk kata sandi dan data yang ditransfer.
Sebuah backdoor yang kecil dan sangat terkemuka. Lapisan pertama kebingungan mungkin hanya polimorfik, sering diperbarui, atau untuk setiap instalasi.
Membuat file .htaccess yang mengarahkan pengguna ke yourstockexpert.su, GoogleBot, Bingbot dan Baiduspider mendapatkan 404.
Membatalkan perubahan nama file apa pun yang mungkin dibuat oleh pembersih malware vigilante juga. Itu sepertinya aneh, karena ".suspected" nama file ada di sekitar, tetapi tidak berlebihan. Mungkin peperangan antar-spamgang?
WSO 2.5 Web Shell yang sangat dimodifikasi dengan menambahkan kode dari berbagai alat peretasan lainnya.
3,993 WSO kedua (Web Shell by Orb, alias "FileSman") Instalasi, hanya delapan permintaan HTTP, termasuk login WordPress dingin.
Novel, namun anehnya dikaburkan WSO 2.5, diinstal melalui apikey.php. apikey.php akan diinstal melalui pembaruan plugin dengan plugin berbahaya, jadi ini tidak melingkar seperti yang seharusnya, adalah apikey.php yang diinstal melalui instance WSO.
WSO 2.5 lainnya, diedit sedikit, disebut 2.6 dan dikemas dalam penetes yang mungkin tidak berhasil. Tiba sekitar satu jam setelah upaya defacement chinafans.
Sebelum instalasi WSO 2.5 Webshell, seseorang dari alamat IP Cina yang sama mencoba menginstal defacement.
Semua kata sandi yang pernah dilihat oleh pot madu saya digunakan untuk masuk ke contoh WSO.
Seperti apa yang dipukul oleh alat eksploitasi web.
Alat peretasan yang disamarkan sebagai plugin, melibatkan kru peretasan Bangladesh.
Trojans Admin Jarak Jauh untuk WordPress dan Joomla.
Rupanya upaya untuk mengarahkan lalu lintas web Cina ke kasino macau dengan menggunakan spam link. Bukankah mesin pencari terlalu canggih agar ini berfungsi?
Memodifikasi semua .asp, .aspx, .php dan file .jsp yang memiliki tugas ke nama variabel remote_server untuk menetapkan "www.guanjianfalan.com" ke variabel itu.
Unggah dua file zip-format, salah satunya adalah WSO 2.5 dengan beberapa kode camoflaging. File zip lainnya memiliki format elf yang dapat dieksekusi dan sepotong kecil PHP untuk menjalankan yang dapat dieksekusi di latar belakang.
Tampaknya menjadi semacam optimasi mesin pencari. Ini menyajikan hasil yang berbeda untuk Invokers "Human" atau "Bot". Ketika memutuskan Anda adalah "bot", ia meminta server untuk teks untuk mengisi HTML template. Gagal itu, itu mendapat teks dari ask.com atau yahoo.com
Penetes yang meninggalkan file PHP di belakang, yang pada gilirannya menyuntikkan kode PHP ke dalam file header.php setiap tema. Jika injeksi tema menentukan bahwa akses berasal dari "bot" (pada dasarnya setiap mesin pencari yang pernah ada, ditambah banyak perpustakaan crawler), ia mendapat HTML dari zalroews.pw untuk kembali ke "bot".
Kampanye 12-akses untuk memasang pintu belakang. Akses dari 12 alamat IP yang berbeda dalam waktu 20 detik, mencoba mengunduh salah satu dari 2, backdoors yang terobsesi secara individual.
12-request, sekitar 30 detik kampanye, menginstal 2 malware yang berbeda, varian WSO 2.5, dan Leafmailer.
Server Socks PHP asli. Saya sering melihat Perl dan bahkan server kaus kaki yang dikompilasi ("bouncer") yang diunduh. Bisakah Anda menjual server Socks di beberapa pasar bawah tanah? Apakah ada nilai dalam memiliki cut-out seperti ini?
Kampanye pendek (11 detik, 17 permintaan http) yang ingin menginstal kode server Socks Simple Perl, tetapi gagal, mungkin karena emulasi WSO saya tidak cukup akurat.
Tiga upaya untuk menginstal alat spamming email, menampilkan upaya untuk memohon alat 34 detik kemudian.
Dua versi sesuatu.
C99 Web Shell di dalam 10-12 tingkat kebingungan.
Shell web sederhana, memuji dirinya sendiri ke URL Indonesia.
Pintu belakang sederhana, dengan fitur yang cukup untuk memungkinkan manusia menggunakannya tanpa terlalu banyak otomatisasi. Penggunaan dapat dengan mudah diotomatisasi. Mungkin kekusutan, karena memiliki pintu belakang itu sendiri, jika Anda tahu parameter HTTP ajaib.
Spam email yang dikirim melalui wse shell WSO, berasal dari 2015. berisi cookie main hakim sendiri
Alat Spamming Email, meledak satu permintaan posting ke beberapa email. Memiliki fungsi "periksa" yang mencari alamat IP mesin yang dikompromikan di berbagai daftar hitam email.
Remailer yang sederhana dan cukup hati -hati dengan hati -hati.
Remailer kecil yang diberi kode dengan hati -hati.
WSO "Web Shell by Orb", diunduh oleh instance WSO yang sebelumnya dipasang.
Alat spamming email, dengan WSO Web Shell ditambahkan. Lengkap dengan kode "Home Telepon" untuk memberi tahu situs web Ukraina bahwa seseorang memohon program tersebut.
Tahu cara mengenali 24 sistem dan kerangka kerja CMS yang berbeda. Menanggapi posting HTTP dengan ringkasan serial tentang apa yang ditemukan CMS dan kerangka kerja yang ditemukannya.
Cangkang web bahasa Cina berfitur lengkap, dengan tampilan web Modern.
Mengalihkan browser ponsel ke beberapa URL lain melalui mod_rewrite comands di dokumen root .htaccess file.
Unduh kode PHP yang ketika dieksekusi, membuat file HTML. Alamat IP yang mengunduh segera berusaha untuk mengakses file HTML, jadi ini mungkin hanya verifikasi akses.
Membuat file .htaccess yang mungkin dapat mengarahkan kembali ke situs pil boner Rusia. Kode berkomentar dapat memeriksa kehadiran host yang dikompromikan pada daftar hitam.
Saya berhipotesis ini adalah alat pengintaian direktori host virtual Apache. Mencari nama direktori dengan 150+ nama domain yang muncul sufiks, tampaknya menekankan kode negara Rusia dan Eropa Timur.
Modified phpspy web shell, disamarkan sebagai file gif, diunduh sebagai pembaruan tema. Modifikasi setidaknya untuk mengubah beberapa label menjadi Turki, dan menambahkan kode "telepon rumah" yang membuat seseorang di Turki tahu bahwa shell web telah dieksekusi. Apakah tidak ada kehormatan di antara pencuri!?!
Malware php superfetchexec kuno, masih menggunakan string XOR lama yang sama yang digunakannya pada tahun 2012.
Agak dimodifikasi shell oleh orb, berasal dari versi 2.5, atau mungkin 2.9. Banyak tingkat kebingungan.
Plugin File Manager yang nyata (walaupun mungkin di luar lisensi), diinstal secara tidak sah. Penggunaan ganda teknologi COTS yang menarik.
Alat spamming email, di mana semua parameter email/kaus kaki/spam dikirimkan dalam cookie HTTP.
Perantara, kode dan dikaburkan untuk pot madu spesifik saya, yang bertindak sebagai cut-out antara pengunduh, dan situs web lain. Melakukan pengujian injeksi SQL di situs web lainnya.
Dropper yang bergantung pada varian WSO 2.9 untuk dieksekusi, kecuali encoding base64 -nya kacau. Menjatuhkan program PHP yang dapat (a) menghapus semua file .htaccess untuk mendokumentasikan root, atau (b) menghasilkan beberapa javascript curang yang mengarahkan Anda ke situs web scammy.
Sepotong kecil PHP yang dikaburkan yang menjalankan fungsi yang disebutkan dalam cookie HTTP pada kode PHP yang juga disebutkan dalam cookie HTTP. Bahkan lebih dikaburkan daripada kedengarannya.
PHP yang menyuntikkan kode ASP, itu sendiri menempatkan hyperlink HTML ke dalam HTML yang dihasilkan ASP. Pilihan aneh untuk digunakan di situs WordPress yang dikompromikan, yang mungkin di -host di Linux.
Tema WordPress yang berisi dua shell phpspy, dan manajer file berbasis web yang telepon rumah.
Pintu belakang yang mengenkripsi.
Akses Validasi/Eksekusi PHP dan Pengunduh File.
Versi gateway file apikey.php yang lebih mampu dan lebih kuat, bersama dengan backdoor eval langsung seseorang yang diunduh melalui versi yang lebih kuat itu.
Upload file yang agak biasa dan biasa -biasa saja dan utilitas unduh.
Alat spamming email "COTS". Namun, saya tidak yakin model bisnis Leafmail. Sepertinya bukan cara untuk membayarnya.
Versi rebranded dari Leafmailer.
Itu benar, Ood melangkah terlalu jauh, pintu belakang eval langsung yang berorientasi objek.
Sederhana, HTTP Post Backdoor, dengan nama file yang mencurigakan.
PHP membingungkan yang mungkin menjalankan kode yang dikirimkan untuk itu dua kali.
Pengunggah sederhana yang menghasilkan blok teks, menghancurkan kemampuannya untuk tetap tersembunyi.
Sebuah backdoor yang agak terkecam yang tampaknya menggunakan assert() untuk mengevaluasi kode yang disahkan dalam permintaan HTTP Post. Pembaruan plugin Akismet sangat rusak, menggunakan versi lama, tetapi juga dikomentari.
Menyusun dan mengembalikan string yang dapat dilarutkan dengan mesin dengan informasi tentang sistem file server web, ID pengguna yang menjalankan PHP atau server web, dan output "uname". Tidak ada apa-apa tentang server web, yang masuk akal karena kode Recon ini diunduh ke apa yang diyakini sebagai backdoor yang sudah ada sebelumnya.
WSO 2.5 Web Shell, dengan novel, pengayaan 2 langkah. Penyerang juga menambahkan beberapa kode anti-pencarian. Paling lucu.
File PHP diunduh melalui WSO yang mendekode dan membayangkan beberapa PHP yang dikodekan. Beberapa kebingungan dari kedua payload PHP yang dikodekan dan PHP decoding.
Email spam, unduhan mungkin berfungsi dalam 3 cangkang web atau backdoors yang berbeda. Tampaknya menjadi bagian dari kampanye spam, panci madu saya telah menangkap email tambahan, sedikit berbeda.
Sebuah instance dari Alat Spamming Email Ujung Web "Rebels Mailer", evaluator PHP langsung, dan backdoor inklusi file lokal.
Program PHP kecil yang dapat menggunakan nilai parameter pos untuk mengirim email dari mesin yang dikompromikan, menyembunyikan asal yang sebenarnya email.
File PHP Remailing Langsung. Upaya unduhan yang sebenarnya muncul ganda, mungkin untuk memungkinkan 2 shell yang berbeda untuk menginstalnya.
Penginstal untuk sesuatu untuk mengubah situs WordPress yang dikompromikan menjadi situs SEO, mungkin menjajakan obat -obatan online kepada pengguna Jepang atau Cina.
Manajer File Cepat yang Cepat, Lisensi di bawah GNU GPL V2.
Smallish, Manajer File 297-Line-of-Code, dalam bahasa Turki.
Aplikasi Manajer File Single-File Lain untuk "Peretas".
PHP Diunduh ke WSO Web Shell. Saat dipanggil dengan parameter GET yang tepat, ia dapat memeriksa apakah nama host itu aktif di penjelajahan Google yang aman sebagai tidak aman, atau dalam daftar blok Spamhaus.
Halaman web interaktif yang mengirim email pengujian ke pilihan alamat invoker.
Unduh ke tindakan evaluasi langsung WSO. Tes jika dapat menulis file, dan kemudian mungkin menjalankan aritmatika sederhana dalam PHP.
Pencerahan file HTML tunggal, terima kasih kepada Suleiman Haksh dari Arab Saudi! Suliman Haksh menulis HTML berkualitas.
