php malware analysis
1.0.0
WordPressハニーポットを実行して得たPHPソースコードのラフカット分析。
これは、新しいWordPressインスタンスまたはホストへの違法なアクセスが得られたら、WordPressサイトをハッキングするボトムフィーダーが行うことを示しています。それは決して科学的ではありません。私は1つのハニーポットに到達するマルウェアの部分をデコードしているだけであり、ダウンロード方法、難読化、またはユニークなコンテンツのために面白そうに見えるピースをデコードするだけです。そのため、奇妙さは過剰に表現されています。
すべて野生で見つかったこのPHPマルウェアのコレクションは、多くのカテゴリに適合します。
いくつかの組み合わせが発生します。特にWSOは、多くの場合、バックドア(PHPアクション、RCアクション)として使用されます。アクセス検証は偵察の一形態です。
Reconは、CMS/フレームワークが存在するものを見るだけであることがありますが、潜在的な横方向の動きにのみ役立つ、ユーザーID、OSのタイプ、ファイルシステムのヒントに関する情報を収集することもあります。しかし、GetDomains Reconは両方のように思えます。
この種のコレクションと分析には「クロスカット」の側面があるように思えます。
それらのファイルがおそらくマルウェアであることを示すPHPのフラグメントの侵害されたWebサイトファイルをチェックするコード。疑わしいファイルの改名、削除、または修理ファイルのほとんどはおそらく動作不能になります。アクセス制御として特別なCookieチェックを追加するWSO Webシェルにコードを注入します。
ドメイン名のリストをダウンロードし、それらのドメイン名でWordPressブログのユーザーを列挙し、動作パスワードを推測しようとするPythonプログラムをダウンロード、実行、削除するPHPマネージャー。 WordPressログインページではなく、 xmlrpc.php呼び出しを使用してパスワードを推測します。
574インスタンス7種類のWebシェルにダウンロードされた電子メールスパムツールのインスタンスに続いて、スパムツールURLを介してテストメールを送信しようと559回試行しました。この分散システムの仮想設計を提案します。
2019-11-01は、同様のキャンペーンをキャプチャしました
私が今まで見た中で最も背が高いダウンロード。 WSO 2.1 Webシェル、2つの電話ホームを備えた葉の郵送ツールとWSO 2.6 Webシェルもダウンロードします。
GoogleUserContent.com JPEG画像のEXIFデータからいくつかのコードを取得するB374K Webシェルのインスタンス。
B374K Webシェルの子孫、おそらくv2.2
FopoがエンコードされたWSOウェブシェルは、それが本当にfopoでエンコードされているとは思わなかったので、私が手書きでゼロしました。 K4Xシェルを配信したのと同じキャンペーンに到着しました。
login_wall fakeプラグインとともにダウンロードされた中容量のWebシェル。 C99 Webシェルに関連している可能性があります。
ring.php Webシェルの別のAutokey-Encodedインスタンス。難読化は変更されており、これはlogin_wallのダウンロードの一部ではありませんでした。
gsptg.php 、Webクローラー、クモ、検索エンジン、ボットに頻繁に戻ってくるよう説得しようとしているようです。普通の人間はおそらく妥協したWordPressサイトを見続けていますが、.krドメインが紹介するユーザーも、ブラウザで韓国語を使用して新しいURLに送信します。
ring.php経由でダウンロード
2017-11-23から2018-05-03の間に受け取ったマルウェアのバッチは、暗号化の一般的な方法を共有します。暗号化は、WSO 4.xシリーズのWebシェルからのものであるように見えますが、キーがはるかに短い(8対44バイト)。 Mumblehardの4つのインスタンスを含む少なくとも52種類のダウンロードがあり、誰かが自明でない暗号化を使用しているのを見るのはさわやかです。
Mumblehard Botnet:TCP/IP接続を中継するサーバー、およびCronによって実行される永続的なペイロードは、コマンドとコントロールサーバーからコードをダウンロードして、実行を開始できます。
WSO 4.x経由でダウンロードされた私のハニーポットは、進化したつぶやきを捕まえました。
私が捕まえた44のMumblehardインスタンスを調べて、時間が経つにつれてコードとメソッドがどのように進行するかを確認します。
パスワードで保護された、プラグイン拡張可能なバックドア。
2019-05-09、私はこのバックドアのV3-01のダウンロードを受け取りました。たくさんの楽しいものがあります。
Qutteraのブログエントリは、これらのバックドアの非固有の説明を提供します。
手続き的にコーディングされたクーキー中のコードバックドアのドロッパーから派生したオブジェクト指向のドロッパー。実際のWSOへの攻撃は、拡張可能なバックドアv2.0-1を残します。
V1-01拡張可能なバックドアをインストールするキャンペーン。攻撃者は、インストール前に作業WSO Webシェルターゲットを確認しようとしました。
2019-07-07に2回目のキャンペーンを受けました
誰かが私のウェブサイトだけで100万件以上アクセスしようとしたバックドア。それ自体はかなり愚かですが、明らかにこのバックドアの地下市場が存在します。
プラグインを装ったマルウェアのコレクションは、アクティブな開発中です。
「Exec-PHP」という名前のリアルではあるが恐ろしく外れたプラグインのトロイジャンバージョン。
B374Kには、パスペビンからこの適度に有能なWebシェルをダウンロードするためのリンクがあります。
自宅に電話をかけるWSOウェブシェルと、 webroot.phpの以前のバージョンを備えた偽のテーマ。
一見ランダムなマルウェアの補完を含む別の妥協したWordPressテーマ。
webrot.phpの親relative、または「webrootv3」と呼ばれることもあります。スティックを振ることができるよりも多くのバックシェル。
適度に有能なバックドア:ファイルを保存および実行するだけでなく、即時PHP評価。パスワードと転送されたデータにネイティブPHP RC4暗号化を使用します。
小さく、高度に難読化された即時平均バックドア。難読化の最初の層は、多型である可能性があり、頻繁にまたはインストールごとに頻繁にやり直します。
ユーザーをyourstockexpert.suにリダイレクトする.htaccessファイル、GoogleBot、bingbot、baiduspiderが404を取得します。
ファイル名の変更が変更されているファイル名も元に戻します。 「サスパートされた」ファイル名の苦情が存在するが、圧倒的ではないので、それは奇妙に思えます。たぶんスパムガン間戦争?
他のさまざまなハッキングツールからコードを追加することにより、WSO 2.5 Webシェルが大幅に変更されました。
3.993 Second WSO(ORB、別名「Filesman」)インストール、コールドワードプレスログインを含む8つのHTTP要求のみがインストールされています。
斬新でありながら奇妙に難読化されたWSO 2.5、apikey.phpを介してインストールされています。 apikey.php 、悪意のあるプラグインを使用したプラグインの更新を介してインストールされていたため、これは循環ほどではありませんでしたapikey.phpインスタンスを介してインストールされていました。
別のWSO 2.5は、2.6と呼ばれる少し編集され、おそらく機能しないドロッパーにパッケージ化されました。 Chinafansの汚損の試みの約1時間後に到着しました。
WSO 2.5 WebShellのインストールの前に、同じ中国のIPアドレスの誰かが汚れをインストールしようとしました。
私のハニーポットがこれまでに見たパスワードはすべて、WSOインスタンスにログインするために使用されていました。
Web Exploitツールにヒットするものはどのようになりますか。
プラグインを偽装したハッキングツールは、バングラデシュのハッキングクルーを含みます。
WordPressとJoomlaの両方のリモート管理者トロイの木馬。
どうやら、リンクスパムを使用して、中国のWebトラフィックをマカオカジノに向けようとする試み。これが機能するには洗練されていない検索エンジンはありませんか?
変数名remote_serverに割り当てられたすべての.asp、.aspx、.php、および.jspファイルを変更して、その変数に「www.guanjianfalan.com」を割り当てます。
2つのzip-format-filesのアップロード。そのうちの1つは、いくつかのカモフラージングコードを備えたWSO 2.5です。もう1つのZIPファイルには、ELF形式の実行可能ファイルと、その実行可能ファイルをバックグラウンドで実行する小さなPHPがあります。
ある種の検索エンジン最適化のようです。 「人間」または「ボット」の呼びかけでさまざまな結果を提供します。あなたが「ボット」であると判断したとき、テキストを記入するためのテキストをサーバーに要求します。HTML。それに失敗すると、Ask.comまたはYahoo.comからテキストを取得します
PHPファイルを残したドロッパーでは、PHPコードをすべてのテーマのheader.phpファイルに注入します。テーマインジェクションで、アクセスが「ボット」(基本的にはすべての検索エンジンがあり、さらに多くのクローラーライブラリ)からであると判断した場合、zalroews.pwからhtmlを「ボット」に渡すようになります。
バックドアをインストールするための12アクセスキャンペーン。 20秒以内に12の異なるIPアドレスからアクセスし、個別に繁殖した2つのバックドアのいずれかをダウンロードしようとします。
12-Request、約30秒のキャンペーンは、2つの異なるマルウェア、バリアントWSO 2.5、およびLeafmailerをインストールします。
ネイティブPHPソックスサーバー。 Perlをよく見たり、コンパイルされたり(「Bouncer」)Socksサーバーがダウンロードされています。一部の地下市場でソックスサーバーを販売できますか?このようなカットアウトを持っていることには価値がありますか?
Perl Simple Socksサーバーコードをインストールしたいと考えていた短い(11秒、17 HTTPリクエスト)キャンペーンは、おそらく私のWSOエミュレーションが十分に正確ではないために失敗しました。
34秒後にツールを呼び出す試みを特徴とする電子メールスパムツールをインストールしようとする3回の試み。
何かの2つのバージョン。
10-12レベルの難読化内のC99 Webシェル。
シンプルなWebシェルは、インドネシアのURLに功績があります。
シンプルなバックドア。人間が自動化をあまり自動化せずに使用できるようにするのに十分な機能を備えています。使用は簡単に自動化できます。マジックHTTPパラメーターを知っている場合、バックドア自体があるという点で、ねじれている可能性があります。
2015年までのWSOウェブシェルを介して送信された電子メールスパム。自警団のクッキーが含まれています
電子メールスパムツールは、単一の投稿リクエストを複数の電子メールに爆発させます。さまざまな電子メールブラックリストに侵害されたマシンのIPアドレスを検索する「チェック」関数があります。
シンプルで適度に慎重にコード化されたリメイラー。
別の小さくて慎重にコード化されたリメイラー。
WSO「Web Shell by Orb」、WSOの以前にインストールされたインスタンスによってダウンロードされました。
WSO Webシェルが追加された電子メールスパムツール。誰かがプログラムを呼び出したというウクライナのWebサイトに通知する「電話ホーム」コードを備えています。
24の異なるCMSシステムとフレームワークを認識する方法を知っています。 HTTP投稿に応答し、CMSとFramework(S)のシリアル化された要約が見つかりました。
フル機能の中国語Webシェル、最新のWebAppの外観があります。
Document Root .htaccessファイルのmod_rewrite comandsを介して、携帯電話ブラウザーを他のURLにリダイレクトします。
実行されたときにHTMLファイルを作成するPHPコードをダウンロードします。ダウンロードIPアドレスはすぐにHTMLファイルにアクセスしようとしたため、これはおそらく確認の確認にすぎません。
ロシアのボナーピルサイトにリダイレクトできる可能性のある.htaccessファイルを作成します。コメントアウトコードは、黒いリストに侵害されたホストの存在を確認できるとコメントしました。
これは、Apache Virtual Host Directory偵察ツールであると仮定しています。 150以上のドメイン名が表示されているディレクトリ名を探し、ロシアと東ヨーロッパの国のコードを強調しているようです。
GIFファイルとして偽装したModified Phpspy Webシェルは、テーマの更新としてダウンロードされました。変更とは、少なくともいくつかのラベルをトルコ語に変更し、トルコの誰かがWebシェルが実行されたことを知らせる「電話ホーム」コードを追加することです。泥棒の間に名誉はありませんか!?!
古代のSuperFetchexec PHPマルウェアは、2012年に使用していたのと同じ古いXOR文字列を使用しています。
バージョン2.5、または場合によっては2.9から派生したORBによってやや変更されたWebシェル。多くのレベルの難読化。
違法にインストールされている実際の(おそらくオフライセンス)ファイルマネージャープラグイン。 COTSテクノロジーの興味深い二重使用。
すべての電子メール/ソックス/スパムパラメーターがHTTP Cookieで送信されるスパムツールに電子メールを送信します。
私の特定のハニーポットのために、コード化され、難読化された仲介者。これは、ダウンローダーと別のWebサイトの間の切り抜きとして機能します。その他のWebサイトでSQLインジェクションテストを実行します。
Base64エンコーディングが台無しになっている場合を除き、実行するためにWSO 2.9バリアントに依存するドロッパー。 (a)すべての.htaccessファイルを削除してrootを文書化できるPHPプログラムをドロップします。または、(b)詐欺的なWebサイトにリダイレクトするアンダーハンド化されたJavaScriptを生成します。
HTTP Cookieでも指定されたPHPコードのHTTP Cookieで名前が付けられた機能を実行する不明瞭なPHPの小さな部分。それが聞こえるよりもさらに難読化されています。
ASPコードを注入するPHP自体がHTMLハイパーリンクをASPで生成されたHTMLに入れます。おそらくLinuxでホストされている妥協したWordPressサイトで使用する奇妙な選択。
2つのPHPSPY Webシェルを含むWordPressテーマと、自宅に電話をかけるWebベースのファイルマネージャー。
バックドアを暗号化します。
アクセス検証/PHP実行とファイルダウンロード装置。
より能力があり、より堅牢なバージョンのApikey.phpファイルゲートウェイと、その堅牢なバージョンからダウンロードされた即時の評価バックドア。
かなり普通の、目立たないファイルアップロードおよびダウンロードユーティリティ。
「コット」メールスパムツール。ただし、Leafmailのビジネスモデルが何であるかはわかりません。それを支払う方法ではないようです。
leafmailerのブランドバージョン。
そうです、OODは行き過ぎ、オブジェクト指向の即時評価のバックドアです。
シンプルなHTTPポストバックドア、疑わしいファイル名があります。
送信されたコードを2回実行する可能性のあるPHPを混乱させます。
テキストのブロックを出力し、隠されたままでいる能力を破壊するシンプルなアップローダー。
assert()を使用してHTTP POSTリクエストで渡されたコードを評価するように見えるいくつかの難読化されたバックドア。 Akismetプラグインの更新は非常に壊れており、古いバージョンを使用しますが、コメントしました。
Webサーバーのファイルシステム、PHPを実行しているユーザーIDまたはWebサーバー、および「UNAME」出力に関する情報を使用して、マシンの類似可能な文字列を作成して返します。 Webサーバーについては何もありません。これは、既存のバックドアであると考えられていたものにこのReconコードがダウンロードされたため、意味があります。
WSO 2.5 Webシェル、斬新な2段階の難読化。攻撃者はまた、いくつかの検索防止コードを追加しました。最も面白い。
WSOを介してダウンロードされたPHPファイルは、いくつかのエンコードされたPHPを解読および回避します。エンコードされたPHPペイロードとデコードPHPの両方の難読化。
電子メールスパム、ダウンロードはおそらく3つの異なるWebシェルまたはバックドアで動作します。スパムキャンペーンの一部であるように思われますが、私のハニーポットは、追加の、わずかに異なるメールをキャッチしました。
「Rebels Mailer」Webフロントエンドメールスパムスパムツール、即時のPHP評価者、およびローカルファイルインクルージョンバックドアのインスタンス。
POSTパラメーター値を使用して侵害されたマシンから電子メールを送信できる小さなPHPプログラム。電子メールの真の起源を隠します。
簡単なRemailing PHPファイル。おそらく2つの異なるWebシェルをインストールできるように、実際のダウンロードの試行は2倍に表示されます。
妥協したWordPressサイトをSEOサイトに変える何かのインストーラーは、おそらく日本人または中国のユーザーにオンラインの医薬品を行使しています。
GNU GPL V2の下でライセンスされた実際の軽量で高速ファイルマネージャー。
トルコの297ラインのコードファイルマネージャー。
「ハッカー」用の別のシングルファイルファイルマネージャーアプリ。
PHPはWSO Webシェルにダウンロードされました。適切なGetパラメーターで呼び出されると、Googleの安全なブラウジングが安全であるか、Spamhausのブロックリストであるかどうかを確認できます。
招待者のアドレスの選択にテストメールを送信するインタラクティブなWebページ。
WSOの即時の評価アクションにダウンロードします。ファイルを記述できるかどうかをテストしてから、PHPで単純な算術を実行する可能性があります。
サウジアラビアのSuleiman Hakerのおかげで、単一のHTMLファイルの衰弱!ただし、Suliman Hakerは質の高いHTMLを書いています。
