php malware analysis
1.0.0
Анализ исходного кода PHP, который я получил, запуская медовый горшок WordPress.
Это иллюстрирует то, что я думаю, что нижние кормушки, которые взламывают сайты WordPress, как только они имеют нелегитимный доступ к новому экземпляру WordPress или хосту. Это никоим образом не научно. Я только расшифровал куски вредоносного ПО, которые прибывают в один медовый горшок, и я только декодирую те части, которые кажутся интересными из -за метода загрузки, запутывания или уникального контента. Странности чрезмерно представлены из-за этого.
Эта коллекция вредоносных программ PHP, найденная в дикой природе, вписывается в ряд категорий:
Некоторые комбинации встречаются: веб -оболочки, особенно WSO, часто используются в качестве бэкдора (действие PHP, действие RC). Проверка доступа - это форма разведки.
Recon Иногда просто смотрит, какие CMS/Frameworks присутствуют, но в других случаях собирает информацию об идентификаторе пользователя, типе и версии ОС, подсказок файловой системы, полезной только для потенциальных боковых движений. GetDomains Recon кажется чем -то обоим.
Мне кажется, что есть аспекты «кросс -резания» такого рода сбора и анализа.
Код, который проверяет скомпрометированные файлы веб -сайтов для фрагментов PHP, которые указывают, что эти файлы, вероятно, вредоносные программы. Переименование, удаляет или ремонтирует подозрительные файлы, которые, вероятно, делают большинство из них неработающими. Внедряет код в WSO Web Shells, который добавляет специальную проверку cookie в качестве контроля доступа.
PHP -менеджер, который загружает, запускает, затем удаляет программу Python, которая загружает список доменных имен, перечисляет пользователей блогов WordPress на эти доменные имена и пытается угадать рабочие пароли. Угадает пароли с использованием вызовов xmlrpc.php , а не через страницу входа в систему WordPress.
574 Экземпляры инструмента по спамке электронной почты, загруженного на 7 различных типов веб -оболочки, за которыми следуют 559 попыток отправить тестовое электронное письмо через URL -адреса инструмента спама. Я предлагаю гипотетический дизайн для этой распределенной системы.
2019-11-01, захватил аналогичную кампанию
Самая загруженная загрузка, которую я когда -либо видел. WSO 2.1 Web Shell, с двумя телефонами, он также загружает инструмент почтовой почты Leafmail и веб-оболочку WSO 2.6.
Экземпляр B374K Web Shell, который получает некоторый код из Decif Data of GoogleUserContent.com JPEG.
Потомок B374K Web Shell, вероятно, v2.2
Fopo-кодированный WSO Webshell, который я снял вручную, потому что я не верил, что это действительно Fopo-кодировано. Прибыл в ту же кампанию, которая доставила оболочку K4X.
Web Shell для средней способности загружена вместе с фальшивым плагином login_wall. Может быть связан с веб -оболочкой C99.
Еще один кодированный экземпляр веб-оболочки ring.php . Запутывание изменилось, и это не было частью загрузки login_wall.
gsptg.php кажется, пытается убедить веб -сканеров, пауков, поисковых систем и ботов, чтобы часто возвращаться. Обычные люди, вероятно, продолжают видеть скомпрометированный сайт WordPress, но он также отправляет пользователей, упомянутых доменами .kr, либо используя корейский язык в своих браузерах на новые URL -адреса.
Загружено через ring.php
Партия вредоносных программ, полученная между 2017-11-23 и 2018-05-03, разделяя общий метод шифрования. Шифрование, по -видимому, принадлежит серии веб -оболочек WSO 4.x, но имеет гораздо более короткий ключ (8 против 44 байта). По крайней мере, 52 различных загрузок, в том числе 4 экземпляра Mumblehard, приятно видеть, как кто-то использует нетривиальное шифрование.
Ботнет Mumblehard: сервер, который передает соединения TCP/IP, и постоянную полезную нагрузку, выполняемое Cron, который может загружать код с команды и сервера управления, а затем запустить его.
Скачанный через WSO 4.X, мой медовый горшок поймал развитый картинок.
Исследование 44 экземпляров Mumblehard, которые я поймал, чтобы увидеть, как проходят код и методы с течением времени.
Защита от пароля, подготовленная плагин.
2019-05-09, я получил загрузку V3-01 этого бэкдора. В нем много забавных вещей.
Запись в блоге Quttera дает неспецифическое описание этих бэкдоров.
Объектно-ориентированная капельница, произошедшая от капельницы за задней двери с кодом-кодом. Атака на настоящий WSO оставит позади продленную заднюю дверь v2.0-1.
Кампания, которая установила бы V1-01 Extending Backdoors. Злоумышленники пытались проверить рабочие целевые показатели WSO Web Shell до установки.
Поймал вторую кампанию на 2019-07-07
Бэкдор, который кто -то пытался получить более 1 миллиона раз на моем веб -сайте. Довольно глупый сам по себе, но, очевидно, существует подземный рынок для этого бэкдора.
Коллекция вредоносных программ, маскирующихся под плагин, находится в активной разработке.
Троянская версия реального, но ужасно устаревшего плагина с именем "EXEC-PHP".
У B374K есть ссылка для загрузки этой модерно способной веб -оболочки из Pastebin.
Поддельная тема, в комплекте с веб-оболочкой WSO, которая звонила домой, и более ранней версией webroot.php .
Еще одна скомпрометированная тема WordPress, содержащая, казалось бы, случайное дополнение вредоносного ПО.
Родственник webrot.php , или иногда известный как «webrootv3». Больше оболочек, чем вы можете встряхнуть палку.
Умеренно способный Backdoor: сохраняет и выполняет файлы, а также немедленную PHP Eval. Использует собственное шифрование PHP RC4 для переносимых данных и данных.
Небольшой, очень запутанный немедленная задняя часть. Первый слой запутывания может быть полиморфным, переделанным время от времени или для каждой установки.
Создает файл .htaccess , который перенаправляет пользователей на свойстаккексперт.
Разонет любое имя файла, которое может сделать вызов ущерба для вредоносных программ, который также может сделать. Это кажется странным, так как жалобы на имя файла. Может быть, межпэмганская война?
Веб -оболочка WSO 2.5 в значительной степени изменяется путем добавления кода из различных других инструментов взлома.
3.993 Вторая установка WSO (Web Shell от ORB, он же «файл»), только восемь HTTP -запросов, включая холодный логин WordPress.
Роман, но странно запутанное WSO 2.5, установлен через apikey.php. apikey.php был бы установлен через обновление плагина со злым плагином, так что это не так круглое, как могло бы быть, это apikey.php установленная через экземпляр WSO.
Другой WSO 2.5, немного отредактировал, назвал 2.6 и упакован в капельницу, которая, вероятно, не работает. Прибыл примерно через час после попытки раздувания Chinafans.
Предшествующая установке WSO 2.5 Webshell, кто -то из того же китайского IP -адреса пытался установить снятие.
Все пароли, которые когда -либо видели мои медовые горшки, использовались для входа в экземпляры WSO.
Как выглядит инструмент для веб -эксплойта.
Инструменты взлома, замаскированные под плагин, наносящая выгоду из Бангладешской хакерской бригады.
Отдаленные администраторы троянов как для WordPress, так и для Joomla.
Очевидно, попытка направить китайский веб -трафик в казино Макао с помощью спама ссылки. Разве поисковые системы не слишком сложны, чтобы это работало?
Изменяет все файл .asp, .aspx, .php и .jsp, которые имеют назначение на имя переменной remote_server для назначения «www.guanjianfalan.com» этой переменной.
Загрузка двух текстовых штук на молнии, одним из которых является WSO 2.5 с некоторым кодом камеры. Другой zip-файл имеет исполняемый файл ELF-формата и небольшой кусок PHP для запуска этого исполняемого файла на заднем плане.
Кажется, что -то вроде поисковой оптимизации. Это служит разным результатам для «человеческих» или «бота». Когда он решает, что вы «бот», он просит сервер для текста, чтобы заполнить шаблон HTML. В противном случае он получает текст от ask.com или yahoo.com
Dropper, которая оставляет файл PHP, который, в свою очередь, вводит PHP -код в файл header.php каждой темы. Если инъекция темы определяет, что доступ к «боту» (в основном каждая поисковая система, которая когда -либо была, плюс множество библиотек хрупков), она получает HTML от Zalroews.pw, чтобы вернуться к «боту».
Кампания с 12 доступами по установке бэкдора. Доступ с 12 различных IP-адресов в течение 20 секунд, пытаясь загрузить один из 2, индивидуально сбитыми бэкдорами.
12-re-request, около 30-секундной кампании, устанавливает 2 разных Malwares, Variant WSO 2.5 и Leafmailer.
Сервер нативного носков PHP. Я часто вижу загруженные серверы Perl и даже скомпилированным («вышибала») носков. Можете ли вы продавать серверы носков на некоторых подземных рынках? Есть ли ценность в таком вырезании?
Короткая (11 -секундная, 17 HTTP -запрос), которая хотела установить код сервера Socks Perl Simple Socks, но не удалась, вероятно, потому что моя эмуляция WSO недостаточно точна.
Три попытки установить инструмент для спама электронной почты с попытками вызвать инструмент через 34 секунды.
Две версии чего -то.
C99 Веб-оболочка внутри 10-12 уровней запутывания.
Простая веб -оболочка, приписывает себя индонезийскому URL.
Простой бэкдор, с достаточным количеством функций, чтобы позволить человеку использовать его без слишком большой автоматизации. Использование может быть легко автоматизировано. Может быть изгиб, поскольку у него есть сама задний ход, если вы знаете магический параметр HTTP.
Спам по электронной почте, отправленный через веб -оболочку WSO, начиная с 2015 года. Содержит печенье -бдительность.
Электронный инструмент для спама, взорвущий один запрос по сообщению в несколько электронных писем. Имеет функцию «Проверка», которая ищет IP -адрес Machine в различных черных списках электронной почты.
Простой, достаточно тщательно закодированный вдалитель.
Еще один маленький, тщательно закодированный переоборудован.
WSO "Web Shell от ORB", загруженный ранее установленным экземпляром WSO.
Инструмент для спама электронной почты с добавлением WSO Web Shell. В комплекте с кодом "Phone Home", чтобы уведомить украинский веб -сайт о том, что кто -то вызвал программу.
Знает, как распознавать 24 различных систем CMS и рамок. Отвечает на HTTP -пост с сериализованным резюме о том, какие CMS и структуры (ы) он нашла.
Полнофункциональная китайская веб-оболочка, с современным веб-приложением.
Перенаправляет браузеры для мобильных телефонов на какой -то другой URL -адрес с помощью mod_rewrite Comands в файле документа. .htaccess .
Загружает PHP -код, который при выполнении создает HTML -файл. Погрузчик IP -адрес сразу же попытался получить доступ к файлу HTML, так что это, вероятно, просто доступ к доступу.
Создает файл .htaccess , который, возможно, может перенаправить на сайт русских таблеток. Прокомментированный код может проверить наличие скомпрометированного присутствия хоста в черных списках.
Я предполагаю, что это инструмент разведывания каталогов Apache Virtual Host. Ищет имена каталогов с 150+ доменными именами, появляющимися суффиксами, кажется, подчеркивает российские и восточно -европейские коды страны.
Модифицированная веб -оболочка Phpspy, замаскированная под файл GIF, загруженный как обновление темы. Модификации, по крайней мере, должны изменить некоторые этикетки на турецкий и добавить код «телефон дома», который позволяет кому -то в Турции знать, что веб -оболочка выполнена. Нет чести среди воров!?!
Древнее вредоносное ПО PHP Superfetchecec, все еще используя ту же старую строку XOR, которую он использовал в 2012 году.
Несколько модифицированная веб -оболочка с ORB, полученная из версии 2.5 или, возможно, 2.9. Много уровней запутывания.
Реальный (хотя и возможно, безлицентрический) плагин файлового диспетчера, незаконно установлен. Интересное двойное использование технологии COTS.
Электронный инструмент спама, где все параметры электронной почты/носков/спама передаются в HTTP Cookie.
Посредник, кодированный и запутанный для моего специфического меда, который действует как вырез между загрузчиком и другим веб-сайтом. Выполняет тестирование на инъекцию SQL на этом другом веб -сайте.
Капля, которая полагается на вариант WSO 2.9 для выполнения, за исключением того, что его кодирование Base64 испорчена. Отбрасывает программу PHP, которая может (a) удалить все файлы .htaccess для документирования root или (b) генерировать какой -то закулисный JavaScript, который перенаправляет вас на мошеннический веб -сайт.
Небольшой кусочек скрытого PHP, который выполняет функции, названные в файлах cookie http на PHP -коде, также называется в файлах http cookie. Еще более запутанно, чем кажется.
PHP, который вводит код ASP, который сам поставляет HTML-гиперссылки в HTML, сгенерированный ASP. Странный выбор для использования на скомпрометированном сайте WordPress, который, вероятно, размещен на Linux.
Тема WordPress, содержащая две веб-оболочки PHPSPY, и веб-диспетчер файлов, который звонит домой.
Шифрующая задняя дверь.
Доступ к проверке/PHP выполнение и загрузку файлов.
Более способная, более надежная версия шлюза файла apikey.php, а также немедленная задняя часть Eval Backdoor, загруженное с помощью этой более надежной версии.
Довольно обычная, ничем не примечательная загрузка и загрузка утилиты.
Инструмент по электронной почте "Cots". Однако я не уверен, что такое бизнес -модель Leafmail. Кажется, не способ заплатить за это.
Повторная версия Leafmailer.
Правильно, OOD зашел слишком далеко, объектно-ориентированная немедленная задняя дверь.
Простой, http post backdoor, с подозрительным именем файла.
Стуша PHP, который может выполнить код, отправленный ему два раза.
Простой загрузчик, который выводит блок текста, разрушая его способность оставаться скрытым.
Несколько запутанный бэкдор, который, по -видимому, использует assert() для оценки кода, проходящего в запросе HTTP Post. Обновление плагина Akismet чрезвычайно сломано, использует старую версию, но также был прокомментирован.
Составляет и возвращает машинную строку с информацией о файловой системе веб-сервера, идентификаторе пользователя, работающего PHP или веб-сервера и вывода «Uname». Ничего о веб-сервере, что имеет смысл, поскольку этот код разведывания был загружен на то, что считалось уже существующим бэкдором.
WSO 2.5 Web Shell, с новым 2-ступенчатым запутыванием. Злоумышленник также добавил некоторый код по борьбе с поисками. Наиболее забавный.
PHP -файл загружен через WSO, который расшифровывает и экипает некоторые закодированные PHP. Некоторое запутывание как кодируемой полезной нагрузки PHP, так и декодирующего PHP.
Электронный спам, загрузка, вероятно, работает в 3 разных веб -оболочках или бэкдорах. Похоже, что является частью спамской кампании, мой медовый горшок поймал дополнительные, немного разные электронные письма.
Экземпляр веб -фронтального инструмента для спама «Rebels Mailer», немедленного оценщика PHP и локального включения файла Backdoor.
Небольшая программа PHP, которая может использовать значения параметров POST для отправки электронной почты с компромиссной машины, скрывая истинное происхождение электронной почты.
Прямо уединенный файл PHP. Фактическая попытка загрузки появляется вдвойне, предположительно, чтобы позволить 2 различным веб -оболочкам установить ее.
Установщик для чего -то, чтобы превратить скомпрометированный сайт WordPress в SEO -сайт, вероятно, продавая онлайн -фармацевтические препараты японским или китайским пользователям.
Фактический легкий, быстрый файловый диспетчер, лицензированный под GNU GPL V2.
Маленький, 297-ливый файловый диспетчер код, на Турции.
Еще одно приложение для диспетчера с одним файлом для "хакеров".
PHP загружен в WSO Web Shell. При обращении к правильным параметрам получения (и) он может проверить, находится ли имя хоста, которое он находится в безопасном просмотре Google как небезопасно или в списке блоков Spamhaus.
Интерактивная веб -страница, которая отправляет тестовое электронное письмо на выбор адресов Invoker.
Загрузите немедленное действие WSO. Проверки, если он может написать файл, а затем, возможно, выполнить простую арифметику в PHP.
Единственный HTML -файл, благодаря Suleiman Haker из Саудовской Аравии! Сулиман Хакер пишет качество HTML, хотя.
