php malware analysis
1.0.0
Análise de corte áspero do código -fonte do PHP que recebi através da execução de um pote de mel do WordPress.
Isso ilustra o que eu acho que os alimentadores de fundo que hackearem os sites do WordPress, uma vez que tenham acesso ilegítimo a uma nova instância ou host do WordPress. Não é científico de forma alguma. Estou apenas decodificando as peças de malware que chegam a uma panela de mel e estou apenas decodificando as peças que parecem interessantes por causa do método de download, ofuscação ou conteúdo único. As esquisitices estão super-representadas por causa disso.
Esta coleção de malware PHP, todos encontrados na natureza, se encaixa em várias categorias:
Algumas combinações ocorrem: conchas da web, principalmente o WSO, geralmente são usadas como um backdoor (ação PHP, ação rc). A verificação de acesso é uma forma de reconhecimento.
O Recon às vezes apenas analisa o que o CMS/Frameworks está presente, mas outras vezes coleta informações sobre ID do usuário, tipo e versão do sistema operacional, dicas do sistema de arquivos, úteis apenas para possíveis movimentos laterais. GetDomains Recon parece algo de ambos, no entanto.
Parece -me que existem aspectos de "corte cruzado" desse tipo de coleção e análise.
Código que verifica os arquivos do site comprometidos quanto a fragmentos de PHP que indicam que esses arquivos provavelmente são malware. Renomeia, exclui ou repara arquivos suspeitos, o que provavelmente torna a maioria deles inoperante. Injeta o código em shells da WON WSO que adiciona uma verificação especial de cookies como controle de acesso.
Um gerente PHP que baixa, é executado e exclui, um programa Python que baixa uma lista de nomes de domínio, enumera usuários de blogs do WordPress sobre esses nomes de domínio e tenta adivinhar senhas de funcionamento. Presidente de senhas usando chamadas xmlrpc.php , não através da página de login do WordPress.
574 Instâncias de uma ferramenta de spam de email baixadas para 7 tipos diferentes de shell da web, seguidos por 559 tentativas de enviar um email de teste através dos URLs da ferramenta de spam. Proponho um design hipotético para este sistema distribuído.
2019-11-01, capturou uma campanha semelhante
O download mais backdoor que eu já vi. Um shell da web do WSO 2.1, com dois homes de telefone, também baixará a ferramenta de correspondência do Leafmail e um shell da web do WSO 2.6.
Uma instância do B374K Web Shell, que obtém algum código dos dados EXIF de uma imagem do GoogleUserContent.com JPEG.
Descendente do B374K Web Shell, provavelmente v2.2
Uma webshell WSO codificada pela FOPO que eu decodificou à mão porque não acreditava que fosse realmente codificado por FOPO. Chegou à mesma campanha que entregou a concha K4X.
Web Shell de capacitação média baixada junto com o plug-in Fake Login_wall. Pode estar relacionado ao shell da Web C99.
Outra instância codificada por Autokey do shell da web ring.php . A ofuscação mudou, e isso não fazia parte de um download de Login_wall.
gsptg.php parece tentar convencer rastreadores da web, aranhas, mecanismos de pesquisa e bots a voltar com frequência. Os seres humanos comuns provavelmente continuam a ver o site do WordPress comprometido, mas também envia os usuários referidos pelos domínios .KR ou usando o idioma coreano em seus navegadores para novos URLs.
Baixado via ring.php
Um lote de malware recebido entre 2017-11-23 e 2018-05-03 compartilhando um método comum de criptografia. A criptografia parece ser da série WSO 4.x de shells da web, mas possui uma chave muito mais curta (8 vs 44 bytes). Pelo menos 52 downloads diferentes, incluindo 4 instâncias de Mumblehard, é revigorante ver alguém usando criptografia não trivial.
MumbleHard Botnet: um servidor que retransmite conexões TCP/IP e uma carga útil persistente, executada por Cron, que pode baixar código de um servidor de comando e controle e iniciá -lo em execução.
Download via WSO 4.x, meu ponte de mel pegou um evoluído e evoluído.
Exame das 44 instâncias de Mumblehard que peguei, para ver como o código e os métodos avançam com o passar do tempo.
Uma porta traseira protegida por senha, protegida por senha.
2019-05-09, recebi um download do V3-01 deste backdoor. Tem muita coisa divertida.
Uma entrada no blog Quttera fornece uma descrição não específica desses backdoors.
Um conta-gotas orientado a objeto, descendente do código-gotas da porta dos fundos do código de back-cookie codificada proceduralmente. Um ataque a um WSO real deixaria para trás uma extensa porta dos fundos v2.0-1.
Campanha que teria instalado o Backdoors Extendíveis V1-01. Os atacantes tentaram verificar os alvos de Web Shell WSO antes da instalação.
Pegou uma segunda campanha em 2019-07-07
Um backdoor que alguém tentou acessar mais de 1 milhão de tempo apenas no meu site. Bastante estúpido por si só, mas aparentemente existe um mercado subterrâneo para esse backdoor.
Uma coleção de malware disfarçado de plugin, que está sob desenvolvimento ativo.
Uma versão trojanada de um plug-in real, mas terrivelmente desatualizado, chamado "Exec-php".
O B374K tem um link para baixar este shell web moderadamente capaz da Pastebin.
Um tema falso, completo com um shell WSO que telefonia para casa e uma versão anterior do webroot.php .
Outro tema comprometido do WordPress, contendo um complemento aparentemente aleatório de malware.
Um parente do webrot.php , ou às vezes conhecido como "webrootv3". Mais conchas traseiras do que você pode agitar.
Um backdoor moderadamente capaz: salva e executa arquivos, bem como o PHP Eval imediato. Usa a criptografia nativa PHP RC4 para senha e dados transferidos.
Um pequeno e altamente ofuscado backdoor imediato-eval. A primeira camada de ofuscação pode ser polimórfica, remonta de vez em quando ou para cada instalação.
Cria um arquivo .htaccess que redireciona os usuários para o YourStockexpert.su, Googlebot, Bingbot e Baiduspider recebem um 404.
Descarga qualquer nome de arquivo altera que uma invocação do limpador de malware vigilante também possa fazer. Isso parece estranho, já que ". Talvez guerra entre spamgang?
Um shell da Web WSO 2.5 fortemente modificado, adicionando código de várias outras ferramentas de hackers.
3.993 Segunda instalação do WSO (Web Shell by ORB, também conhecida como "Homem de Arquivo"), apenas oito solicitações HTTP, incluindo um login frio do WordPress.
Novel, ainda estranhamente ofuscado WSO 2.5, instalado via apikey.php. apikey.php teria sido instalado por meio de uma atualização de plug -in com um plug -in malicioso, então isso não é tão circular quanto poderia ter sido, foram apikey.php instalados via Instância WSO.
Outro WSO 2.5, editado um pouco, chamado 2.6 e embalado em um conta -gotas que provavelmente não funciona. Chegou cerca de uma hora após a tentativa de desfiguração da China.
Antes da instalação da Webshell do WSO 2.5, alguém do mesmo endereço IP chinês tentou instalar uma desfiguração.
Todas as senhas que meus panelas de mel já viram usados para fazer login nas instâncias do WSO.
Como é ser atingido por uma ferramenta de exploração da web.
Ferramentas de hackers disfarçadas de plug -in, implicando uma equipe de hackers de Bangladesh.
Trojans de administrador remoto para WordPress e Joomla.
Aparentemente, uma tentativa de direcionar o tráfego da Web chinês para um cassino de Macau por meio de spam de link. Os mecanismos de pesquisa não são sofisticados demais para que isso funcione?
Modifica todos os arquivos .asp, .aspx, .php e .jsp que têm uma atribuição a um nome variável remote_server para atribuir "www.guanjianfalan.com" a essa variável.
Uploads de dois arquivos ZIP, um dos quais é o WSO 2.5 com algum código de camoflaging. O outro arquivo ZIP possui um executável em formato de ELF e um pequeno pedaço de PHP para executar esse executável em segundo plano.
Parece ser algum tipo de coisa de otimização de mecanismos de pesquisa. Serve resultados diferentes para invocadores "humanos" ou "bot". Quando decide que você é um "bot", pede a um servidor um texto para preencher o modelo HTML. Falhando nisso, recebe texto de Ask.com ou yahoo.com
O gotas de gotas que deixa um arquivo php para trás, que, por sua vez, injeta o código PHP no header.php de cada tema. Se a injeção do tema determinar que um acesso é de um "bot" (basicamente todos os mecanismos de pesquisa que já foram, além de muitas bibliotecas de rastreador), ele recebe HTML do zalroews.pw para voltar ao "bot".
Uma campanha de 12 acessos para instalar um backdoor. Acesso a partir de 12 endereços IP diferentes em 20 segundos, tentando baixar um dos 2 backdoors obscecados individualmente.
12-Request, aproximadamente 30 segundos campanha, instala 2 malwares diferentes, variante WSO 2.5 e Leafmailer.
Servidor de meias php nativo. Costumo ver os servidores de meias Perl e até compilados ("Bouncer") baixados. Você pode vender servidores de meias em alguns mercados subterrâneos? Existe valor em ter um recorte como este?
Uma campanha curta (11 segundos, 17 solicitações HTTP) que queria instalar o código do servidor de meias PERL Simple, mas falhou, provavelmente porque minha emulação do WSO não é precisa o suficiente.
Três tentativas de instalar uma ferramenta de spam em e -mail, apresentando tentativas de invocar a ferramenta 34 segundos depois.
Duas versões de algo.
C99 Web Shell dentro de 10 a 12 níveis de ofuscação.
A shell da web simples, credita -se a um URL indonésio.
Um backdoor simples, com recursos suficientes para permitir que um humano o use sem muita automação. O uso pode ser facilmente automatizado. Pode ser inclinado, pois possui um backdoor, se você conhece o parâmetro HTTP mágico.
Um spam de e -mail enviado através de um shell WSO, namoro para 2015. Contém um biscoito de vigilante
Ferramenta de spam em e -mail, explode uma única solicitação de postagem em vários e -mails. Função "verificação" que procure o endereço IP da máquina comprometido em várias listas de email preto.
Remailer simples e razoavelmente codificado.
Outro pequeno e cuidadosamente codificado Remailer.
WSO "Web Shell by Orb", baixado por uma instância anteriormente instalada do WSO.
Uma ferramenta de spam de email, com o WOS Web Shell anexado. Complete com o código "Telefone Home" para notificar um site ucraniano de que alguém invocou o programa.
Sabe como reconhecer 24 sistemas e estruturas CMS diferentes. Responde a uma postagem HTTP com um resumo serializado do que o CMS e a estrutura (s) encontrou.
A shell da Web de língua chinesa completa, com uma aparência moderna da WebApp.
Redireciona os navegadores de telefone celular para outro URL via mod_rewrite comands no arquivo .htaccess de documento.
Faça o download de código PHP que, quando executado, cria um arquivo HTML. O endereço IP de download imediatamente tentou acessar o arquivo HTML, então isso provavelmente é apenas verificação de acesso.
Cria um arquivo .htaccess que talvez possa redirecionar para um site de comprimidos russos. O código comentado pode verificar a presença do host comprometida nas listas pretas.
Suponho que esta seja uma ferramenta de reconhecimento de diretório virtual do Apache Virtual. Procura nomes de diretórios com mais de 150 nomes de domínio que aparecem sufixos, parece enfatizar os códigos de países da Europa Russa e Oriental.
Modificado PHPSPY Web Shell, disfarçado de arquivo GIF, baixado como uma atualização de tema. As modificações devem pelo menos alterar alguns rótulos para turco e adicionar código "telefone para casa" que permita que alguém na Turquia saiba que o shell da web foi executado. Não há honra entre ladrões!?!
Malware PHP do SuperFetchExec antigo, ainda usando a mesma corda Xor antiga que estava usando em 2012.
Shell web um tanto modificado por ORB, derivado da versão 2.5 ou possivelmente 2.9. Muitos níveis de ofuscação.
Um plugin de gerenciador de arquivos real (embora possivelmente fora da licença), instalado ilegitimamente. Uso duplo interessante da tecnologia COTS.
Ferramenta de spam em e -mail, onde todos os parâmetros de email/meias/spam são transmitidos em um cookie HTTP.
Um intermediário, codificado e ofuscado para o meu pote de mel específico, que atua como um corte entre o downloader e outro site. Executa testes de injeção de SQL nesse outro site.
O gotas de conta -gotas que depende de uma variante WSO 2.9 para executar, exceto que sua codificação Base64 está confusa. A retirada de um programa PHP que pode (a) excluir todos os arquivos .htaccess up para documentar a root ou (b) gerar algum JavaScript secreto que o redireciona para um site Scammy.
Pequena parte do PHP obscurecido que executa funções nomeadas em cookies HTTP no código PHP, também nomeados em cookies HTTP. Ainda mais ofuscado do que parece.
PHP que injeta o código ASP, isso coloca os hiperlinks HTML no HTML gerado pelo ASP. Escolha ímpar de usar em um site WordPress comprometido, que provavelmente está hospedado no Linux.
Um tema WordPress contendo dois shells da Web PhPSPY e um gerente de arquivos baseado na Web que telefonia para casa.
Uma porta dos fundos criptografando.
Acesse validação/execução PHP e download de arquivos.
Uma versão mais capaz e mais robusta do gateway de arquivos apikey.php, juntamente com um backdoor de avaliação imediato alguém baixado por essa versão mais robusta.
Um utilitário de upload e download de arquivos bastante comum e não digno de nota.
Uma ferramenta de spaming de e -mail "COTS". No entanto, não tenho certeza de qual é o modelo de negócios do Leafmail. Não parece ser uma maneira de pagar por isso.
Versão renomeada do Leafmailer.
É isso mesmo, Ood foi longe demais, uma porta traseira de avaliação imediata orientada a objetos.
Simples e http post backdoor, com um nome de arquivo suspeito.
PHP confuso que pode executar o código enviado a ele duas vezes.
Uploader simples que gera um bloco de texto, destruindo sua capacidade de permanecer oculto.
Um backdoor um pouco ofuscado que parece usar assert() para avaliar o código aprovado em uma solicitação de postagem HTTP. A atualização do plugin do Akismet extremamente quebrada, usa uma versão antiga, mas também foi comentada.
Compõe e retorna uma string intercalável de máquina com informações sobre o sistema de arquivos do Web Server, o ID do usuário executando o PHP ou o servidor da Web e a saída "Uname". Nada sobre o servidor da web, o que faz sentido, pois esse código de reconhecimento foi baixado para o que se acreditava ser um backdoor pré-existente.
WOLE 2.5 Web Shell, com um romance, ofuscação em duas etapas. O atacante também adicionou algum código de descoberta anti-pesquisa. Mais divertido.
Arquivo PHP baixado via WSO que decodifica e evals Alguns PHP codificados. Alguma ofuscação da carga útil de PHP codificada e do PHP decodificador.
Email Spam, o download provavelmente funciona em 3 shells da Web ou backdoors diferentes. Parece fazer parte de uma campanha de spam, meu pote de mel pegou e -mails adicionais e um pouco diferentes.
Uma instância da ferramenta de spaming de e -mail da Web "Rebels Mailer", avaliador imediato do PHP e backdoor de inclusão de arquivos locais.
Programa PHP pequeno que pode usar valores de parâmetro pós para enviar email da máquina comprometida, ocultando a verdadeira origem do email.
Arquivo PHP remailante direto. A tentativa real de download aparece dupla, presumivelmente para permitir que 2 shells da web diferentes o instalem.
O instalador de algo para transformar um site WordPress comprometido em um site de SEO, provavelmente vendendo produtos farmacêuticos on -line para usuários japoneses ou chineses.
Um gerenciador de arquivos leve e rápido real, licenciado no GNU GPL V2.
Smallish, gerente de arquivos de código de 297 linhas de código, em turco.
Outro aplicativo de gerenciador de arquivos de arquivo único para "hackers".
PHP baixado para WSO Web Shell. Quando chamado com os parâmetros GET adequados, pode verificar se o nome do host está na navegação seguro do Google como inseguro ou na lista de blocos de Spamhaus.
Página da Web interativa que envia um email de teste para a escolha dos endereços do Invocador.
Faça o download da ação de avaliação imediata do WSO. Testes se ele pode gravar um arquivo e, em seguida, talvez executar a aritmética simples no PHP.
Uma única desfiguração do arquivo HTML, graças a Suleiman Haker, da Arábia Saudita! Suliman Haker escreve HTML de qualidade, no entanto.
