php malware analysis
1.0.0
WordPress 꿀 냄비를 실행하여 얻은 PHP 소스 코드의 대략적인 컷 분석.
이것은 WordPress 사이트를 해킹하는 하단 피더가 새로운 WordPress 인스턴스 또는 호스트에 불법적으로 액세스 할 수 있다고 생각하는 것을 보여줍니다. 어떤 식 으로든 과학적이지 않습니다. 나는 하나의 꿀 냄비에 도달하는 맬웨어 조각을 디코딩하고 있으며 다운로드, 난독 화 또는 독특한 콘텐츠로 인해 흥미로운 조각을 해독하고 있습니다. 그로 인해 이상한 점이 과도하게 나타납니다.
야생에서 발견되는이 PHP 맬웨어 컬렉션은 여러 범주에 적합합니다.
웹 쉘, 특히 WSO는 종종 백도어 (PHP 동작, RC 동작)로 사용됩니다. 액세스 검증은 정찰의 한 형태입니다.
Recon은 때때로 CMS/프레임 워크가있는 내용을 살펴 보지만 다른 시간에는 사용자 ID, 유형 및 OS 유형, 파일 시스템 힌트에 대한 정보를 수집합니다. 잠재적 측면 이동에만 유용합니다. 그러나 GetDomains Recon은 두 가지처럼 보입니다.
이런 종류의 수집 및 분석에는 "교차 절단"측면이있는 것 같습니다.
PHP 조각에 대한 타협 된 웹 사이트 파일을 확인하는 코드는 해당 파일이 아마도 악성 코드임을 나타냅니다. 용의자 파일의 이름을 바꾸거나 삭제하거나 수리하면서 대부분의 수술이 발생하지 않을 수 있습니다. 액세스 제어로 특수 쿠키 점검을 추가하는 WSO 웹 쉘에 코드를 주입합니다.
Domain 이름 목록을 다운로드하고 해당 도메인 이름에 대한 WordPress 블로그 사용자를 열거하고 작업 비밀번호를 추측하려고 시도하는 Python 프로그램을 다운로드, 실행, 삭제하는 PHP 관리자. WordPress 로그인 페이지가 아닌 xmlrpc.php 호출을 사용하여 암호를 추측합니다.
574 7 가지 유형의 웹 쉘로 다운로드 한 이메일 스팸 도구의 인스턴스, 559 개의 스팸 도구 URL을 통해 테스트 이메일을 보내려고합니다. 이 분산 시스템에 대한 가상 디자인을 제안합니다.
2019-11-01은 비슷한 캠페인을 포착했습니다
내가 본 것 중 가장 뒷받침 된 다운로드. WSO 2.1 웹 쉘, 2 개의 전화 호메스가있는 Leafmail 메일 링 도구와 WSO 2.6 웹 쉘도 다운로드합니다.
B374K 웹 쉘 인스턴스는 GoogleUserContent.com JPEG 이미지의 Exif 데이터에서 일부 코드를 가져옵니다.
B374K 웹 쉘의 후손, 아마도 v2.2
내가 정말로 인코딩되었다고 믿지 않았기 때문에 손으로 결정한 fopo-encoded wso 웹 쉘. K4X 쉘을 전달한 동일한 캠페인에 도착했습니다.
Login_Wall 가짜 플러그인과 함께 다운로드 된 중간 용량의 웹 쉘. C99 웹 쉘과 관련이있을 수 있습니다.
ring.php 웹 쉘의 또 다른 고장 인스턴스 인스턴스. 난독 화가 바뀌었고 이것은 login_wall 다운로드의 일부가 아니 었습니다.
gsptg.php 웹 크롤러, 거미, 검색 엔진 및 봇이 자주 돌아 오도록 설득하려고 시도하는 것 같습니다. 평범한 인간은 아마도 타협 된 WordPress 사이트를 계속 볼 수 있지만 .KR 도메인에서 언급 한 사용자를 또는 브라우저에서 한국어를 새로운 URL로 보냅니다.
ring.php 를 통해 다운로드
2017-11-23에서 2018-05-03 사이에 수신 된 맬웨어 배치는 일반적인 암호화 방법을 공유합니다. 암호화는 WSO 4.X 시리즈의 웹 쉘에서 나온 것으로 보이지만 키 (8 대 44 바이트)가 훨씬 짧습니다. 4 개의 Mumblehard 인스턴스를 포함하여 최소 52 개의 다른 다운로드. 사소한 암호화를 사용하는 사람을 보는 것이 상쾌합니다.
MUMBLEHARD BOTNET : TCP/IP 연결을 전달하는 서버와 CRON에서 실행 한 영구 페이로드는 명령 및 제어 서버에서 코드를 다운로드 한 다음 실행을 시작할 수 있습니다.
WSO 4.X를 통해 다운로드 한 내 허니 냄비는 진화 된 mumblehard를 잡았습니다.
내가 잡은 44 개의 Mumblehard 인스턴스를 조사하여 시간이 지남에 따라 코드와 방법이 어떻게 진행되는지 확인합니다.
비밀번호로 보호되고 플러그인이 확장 가능한 뒷문.
2019-05-09,이 백도어의 V3-01을 다운로드했습니다. 그것은 그것에 많은 재미있는 것들을 가지고 있습니다.
Quttera 블로그 항목은 이러한 백도어에 대한 비특이적 설명을 제공합니다.
객체 지향적 인 낙하산은 절차 적으로 코드 코드 인 쿠키 백 도어의 드롭퍼에서 내려 갔다. 실제 WSO에 대한 공격은 확장 가능한 뒷문 v2.0-1을 남길 것입니다.
v1-01 확장 가능한 백도어를 설치 한 캠페인. 공격자는 설치 전에 WSO 웹 쉘 대상이 작동하는지 확인하려고했습니다.
2019-07-07에서 두 번째 캠페인을 잡았습니다
누군가 내 웹 사이트에서만 백만 번 이상 액세스하려고 시도한 백도어. 그 자체로는 꽤 멍청하지만 분명히이 백도어의 지하 시장은 존재합니다.
플러그인으로 가장 한 맬웨어 모음은 활발한 개발 중입니다.
"exec-php"라는 실제적이지만 끔찍한 오래된 플러그인의 트로이 제한 버전.
B374K에는 Pastebin 에서이 중간 정도의 유능한 웹 쉘을 다운로드 할 수있는 링크가 있습니다.
가짜 테마는 집에 전화를하는 WSO 웹 쉘과 이전 버전의 webroot.php 로 완성됩니다.
맬웨어의 무작위 보완을 포함하는 또 다른 손상된 WordPress 테마.
webrot.php 의 친척이거나 때로는 "Webrootv3"로 알려져 있습니다. 막대기를 흔들 수있는 것보다 더 많은 껍질.
적당히 유능한 백도어 : 파일을 저장하고 실행하고 즉각적인 PHP 평가. 비밀번호 및 전송 된 데이터에는 기본 PHP RC4 암호화를 사용합니다.
작고 고도로 난독 화 된 즉각적인 백도어. 난독 화의 첫 번째 층은 다형성 일 수 있으며, 매번 또는 모든 설치에 대해 재개 할 수 있습니다.
사용자를 YourStockexpert.su, GoogleBot, Bingbot 및 Baiduspider로 리디렉션하는 .htaccess 파일을 만듭니다.
Vigilante Malware Cleaner의 호출도 만들 수있는 파일 이름이 변경됩니다. ".Soppected"파일 이름 불만이 주변에 있지만 압도적이지 않기 때문에 이상하게 보입니다. 아마도 스팸 간 전쟁?
다양한 다른 해킹 도구의 코드를 추가하여 WSO 2.5 웹 쉘을 크게 수정했습니다.
3.993 Second WSO (ORB, 일명 "Filesman") 설치, Cold WordPress 로그인을 포함하여 8 개의 HTTP 요청 만 설치합니다.
Apikey.php를 통해 설치된 소설이지만 이상하게 난독 화 된 WSO 2.5. apikey.php 악의적 인 플러그인이있는 플러그인 업데이트를 통해 설치되었으므로 WSO 인스턴스를 통해 apikey.php 설치된 것만 큼 원형이 아닙니다.
또 다른 WSO 2.5는 2.6이라고 불리는 약간 편집하고 아마도 작동하지 않는 드롭퍼에 포장되었습니다. Chinafans Defement 시도 후 약 1 시간 후에 도착했습니다.
WSO 2.5 웹 쉘 설치 이전에 동일한 중국 IP 주소의 누군가가 Defement를 설치하려고 시도했습니다.
내 허니 냄비가 WSO 인스턴스에 로그인하는 데 사용 된 모든 암호.
웹 익스플로잇 도구에 부딪히는 것은 어떻게 보입니다.
방글라데시 해킹 승무원을 연루하여 플러그인으로 위장한 해킹 도구.
WordPress와 Joomla를위한 원격 관리자 트로이 목마.
분명히 링크 스팸을 통해 중국 웹 트래픽을 마카오 카지노로 안내하려는 시도입니다. 검색 엔진이 작동하기에는 너무 정교하지 않습니까?
변수 이름 remote_server 에 할당되어 "www.guanjianfalan.com"을 해당 변수에 할당하는 모든 .asp, .aspx, .php 및 .jsp 파일을 수정합니다.
두 개의 zip-format-files를 업로드하는데, 그 중 하나는 일부 camoflaging 코드와 함께 WSO 2.5입니다. 다른 ZIP 파일에는 ELF 형식 실행 파일과 백그라운드에서 실행 파일을 실행할 작은 PHP 조각이 있습니다.
일종의 검색 엔진 최적화 인 것 같습니다. "인간"또는 "봇"송장에 대한 다른 결과를 제공합니다. 그것이 "봇"이라고 결정하면 서버에 텍스트를 작성하여 템플릿 html을 작성하도록 요청합니다. 실패하면 ask.com 또는 yahoo.com에서 텍스트를받습니다
PHP 파일을 남겨 두는 Dropper는 PHP 코드를 모든 테마의 header.php 파일에 주입합니다. 테마 주입이 액세스가 "BOT"(기본적으로 모든 검색 엔진과 많은 크롤러 라이브러리)에서 액세스 할 수 있다고 판단하면 Zalroews.pw에서 HTML이 "봇"으로 전달됩니다.
백도어 설치를위한 12 액세스 캠페인. 20 초 이내에 12 개의 서로 다른 IP 주소에서 액세스하여 개별적으로 포괄적 인 백도어 2 중 하나를 다운로드하려고 시도합니다.
약 30 초 캠페인, 12- 퀘스트, 2 개의 다른 Malwares, 변형 WSO 2.5 및 Leafmailer를 설치합니다.
기본 PHP 양말 서버. 나는 종종 Perl과 심지어 컴파일 된 ( "경비원") 양말 서버가 다운로드되었습니다. 일부 지하 시장에서 양말 서버를 판매 할 수 있습니까? 이와 같은 컷 아웃에 가치가 있습니까?
Perl Simple Socks 서버 코드를 설치하려는 짧은 (11 초, 17 HTTP 요청) 캠페인은 WSO 에뮬레이션이 충분히 정확하지 않기 때문에 실패했습니다.
34 초 후에 도구를 호출하려는 시도가 특징 인 이메일 스팸 도구를 설치하려는 세 번의 시도.
무언가의 두 가지 버전.
10-12 수준의 난독 화 내부의 C99 웹 쉘.
간단한 웹 쉘은 인도네시아 URL에 크게 인정합니다.
인간이 너무 많은 자동화없이 사용할 수있는 충분한 기능 만 갖춘 간단한 백도어. 사용을 쉽게 자동화 할 수 있습니다. Magic HTTP 매개 변수를 알고 있다면 백도어 자체가 있다는 점에서 꼬임이있을 수 있습니다.
WSO 웹 쉘을 통해 전송 된 이메일 스팸은 2015 년에 시작됩니다.
이메일 스팸 도구는 여러 이메일로 단일 게시물 요청을 폭발시킵니다. 다양한 이메일 검은 색 목록에 손상된 Machine의 IP 주소를 찾는 "확인"기능이 있습니다.
간단하고 합리적으로 신중하게 코딩 된 리메일러.
다른 작고 신중하게 코딩 된 리메일러.
WSO "Web Shell By Orb", 이전에 설치된 WSO 인스턴스로 다운로드했습니다.
WSO 웹 쉘이 추가 된 이메일 스팸 도구. 우크라이나 웹 사이트에 누군가가 프로그램을 호출 한 것을 알리기 위해 "전화 홈"코드를 완성하십시오.
24 가지 CMS 시스템과 프레임 워크를 인식하는 방법을 알고 있습니다. CMS 및 프레임 워크가 찾은 직렬화 된 요약으로 HTTP 게시물에 응답합니다.
현대적인 웹 애호가가있는 완전한 수분이있는 중국어 웹 쉘.
문서 루트 .htaccess 파일의 mod_rewrite comands를 통해 휴대폰 브라우저를 다른 URL로 리디렉션합니다.
실행될 때 HTML 파일을 생성하는 PHP 코드를 다운로드합니다. 다운로드 IP 주소는 즉시 HTML 파일에 액세스하려고 시도 했으므로 이는 아마도 액세스 인증 일뿐입니다.
러시아 Boner Pill 사이트로 리디렉션 할 수있는 .htaccess 파일을 만듭니다. 댓글을 달린 코드는 블랙리스트에서 손상된 호스트의 존재를 확인할 수 있습니다.
나는 이것이 Apache 가상 호스트 디렉토리 정찰 도구라고 가정합니다. 150 개 이상의 도메인 이름이 접미사로 나타나는 디렉토리 이름을 찾으려면 러시아와 동유럽 국가 코드를 강조하는 것 같습니다.
GIF 파일로 위장한 수정 된 Phpspy Web Shell은 테마 업데이트로 다운로드했습니다. 수정은 적어도 일부 레이블을 터키어로 변경하고 터키의 누군가가 웹 쉘이 실행되었음을 알리는 "전화 홈"코드를 추가하는 것입니다. 도둑들 사이에 영광이 없습니까!?!
고대 SuperFetchExec PHP 맬웨어는 2012 년에 사용했던 것과 동일한 오래된 XOR 문자열을 사용하고 있습니다.
버전 2.5 또는 아마도 2.9에서 파생 된 ORB에 의해 약간 수정 된 웹 쉘. 많은 수준의 난독 화.
실제 (아마도 라이센스가 없어도) 파일 관리자 플러그인, 불법적으로 설치되었습니다. COTS 기술의 흥미로운 이중 사용.
모든 이메일/양말/스팸 매개 변수가 HTTP 쿠키로 전송되는 이메일 스팸 도구.
내 특정 꿀 냄비에 대해 코딩 및 난독 화 된 중개자는 다운로더와 다른 웹 사이트 사이의 컷 아웃 역할을합니다. 다른 웹 사이트에서 SQL 주입 테스트를 수행합니다.
Base64 인코딩이 엉망인 것을 제외하고는 WSO 2.9 변형에 의존하는 Dropper. (a) 모든 .htaccess 파일을 루트를 문서화하기 위해 삭제하거나 (b) 스팸성 웹 사이트로 리디렉션하는 일부 언더 핸드 JavaScript를 생성 할 수있는 PHP 프로그램을 삭제합니다.
PHP 코드에서 HTTP 쿠키에서 명명 된 기능을 실행하는 가려진 PHP의 작은 조각은 HTTP 쿠키에서도 명명되었습니다. 소리보다 더 난독 화 된.
ASP 코드를 주입하는 PHP 자체는 HTML 하이퍼 링크를 ASP 생성 HTML에 넣습니다. Linux에서 호스팅되는 타협 된 WordPress 사이트에서 사용하기에 이상한 선택.
두 개의 phpspy 웹 쉘을 포함하는 WordPress 테마와 전화를받는 웹 기반 파일 관리자.
암호화 뒷문.
액세스 유효성 검사/PHP 실행 및 파일 다운로더.
Apikey.php 파일 게이트웨이의보다 유능하고 강력한 버전과 함께 더 강력한 버전을 통해 다운로드 한 즉각적인 평가 백도어와 함께.
다소 평범하고 눈에 띄지 않는 파일 업로드 및 다운로드 유틸리티.
"Cots"이메일 스팸 도구. 그러나 Leafmail의 비즈니스 모델이 무엇인지 잘 모르겠습니다. 비용을 지불하는 방법이 아닌 것 같습니다.
리프 메일러의 브랜드 버전.
맞습니다. Ood는 너무 멀리갔습니다.
의심스러운 파일 이름이있는 간단한 http post backdoor.
코드를 두 번 실행할 수있는 PHP 혼동.
텍스트 블록을 출력하는 간단한 업로더로 숨겨져있는 능력을 파괴합니다.
assert() 사용하여 HTTP 사후 요청에 전달 된 코드를 평가하는 것으로 보이는 다소 난독 화 된 백도어. Akismet 플러그인 업데이트는 매우 깨졌고 이전 버전을 사용하지만 댓글을 달았습니다.
웹 서버 파일 시스템, PHP 실행 사용자 ID 또는 웹 서버 실행 및 "Uname"출력에 대한 정보로 컴퓨터가 가능한 문자열을 구성하고 반환합니다. 웹 서버에 대해서는이 Recon 코드가 기존 백도어로 여겨지는 것으로 다운로드되었으므로 의미가 없습니다.
WSO 2.5 웹 쉘, 소설 2 단계 난독 화. 공격자는 또한 일부 검색 방지 중단 코드를 추가했습니다. 가장 재미있는.
PHP 파일은 일부 인코딩 된 PHP를 디코딩하고 eving하는 WSO를 통해 다운로드했습니다. 인코딩 된 PHP 페이로드와 디코딩 PHP의 일부 난독 화.
이메일 스팸, 다운로드는 아마도 3 개의 다른 웹 쉘 또는 백도어에서 작동합니다. 스팸 캠페인의 일부인 것 같습니다. 내 허니 냄비는 추가로 약간 다른 이메일을 받았습니다.
"Rebels Mailer"웹 프론트 엔드 이메일 스팸 도구, 즉각적인 PHP 평가자 및 로컬 파일 포함 백도어 인스턴스.
우편 매개 변수 값을 사용하여 손상된 컴퓨터에서 이메일을 보내면서 이메일의 진정한 원점을 숨길 수있는 소규모 PHP 프로그램.
간단한 remailing php 파일. 실제 다운로드 시도는 두 개의 다른 웹 쉘이 설치할 수 있도록 두 배로 보입니다.
타협 된 WordPress 사이트를 SEO 사이트로 전환 할 수있는 설치 프로그램은 아마도 일본어 또는 중국 사용자에게 온라인 의약품을 모으고있을 것입니다.
GNU GPL V2에 따라 라이센스가 부여 된 실제 가벼운 빠른 파일 관리자.
Smallish, 297-line-of Code 파일 관리자, 터키어.
"해커"를위한 또 다른 단일 파일 파일 관리자 앱.
PHP는 WSO 웹 쉘에 다운로드했습니다. 적절한 get 매개 변수로 호출되면, 켜져있는 호스트 이름이 Google의 안전한 브라우징인지 또는 Spamhaus의 블록 목록에 있는지 확인할 수 있습니다.
Test 이메일을 Invoker의 선택 주소로 보내는 대화식 웹 페이지.
WSO의 즉각적인 평가 조치로 다운로드하십시오. 파일을 작성할 수 있는지 테스트 한 다음 PHP에서 간단한 산술을 실행할 수 있습니다.
사우디 아라비아의 Suleiman Haker 덕분에 단일 HTML 파일 파일 수정 사항! 그러나 Suliman Haker는 품질 HTML을 씁니다.
