php malware analysis

我通过运行WordPress Honey Pot获得的PHP源代码的粗略分析。

这说明了我认为黑客WordPress网站所做的底部馈线，一旦他们违法地访问了新的WordPress实例或主机。从任何方面都不是科学的。我只是在解码到达一个蜂蜜罐的恶意软件，而我只是在解码这些似乎很有趣的部分，因为下载，混淆或独特的内容。因此，奇数过多。

这些PHP恶意软件集合在野外发现，属于许多类别：

• 电子邮件垃圾邮件工具
• 访问验证
• 侦察，具有子类别
• 网络壳
• 后门
• 袜子服务器
• HTTP重定向器
• 文件经理
• 密码猜测者

发生了一些组合：Web壳，尤其是WSO，通常被用作后门（PHP Action，RC操作）。访问验证是侦察的一种形式。

侦察有时只是查看存在哪些CMS/框架，但是其他时候收集有关用户ID，类型和版本，文件系统提示的信息，仅对潜在的横向移动有用。 getDomains侦察似乎两者都一样。

在我看来，这种收集和分析有“交叉切割”方面。

• 密码猜测活动
• 下载方法，与其他恶意软件的通用性
• 常见的“滴管”代码用法
• 常见的电话家代码
• 常见的背面壳代码（通常是Perl）
• 编码/加密的方法（例如FOPO）
• 攻击IP的地理位置
• 与特定恶意软件相关的广告系列
• 随后访问已下载的代码
• 下载代码的先前访问（ES）
• 用于猜测的常见密码列表

检查损害网站文件的PHP片段的代码表明这些文件可能是恶意软件。重命名，删除或维修可疑文件，这可能会使大多数不起作用。将代码注入WSO Web外壳中，该代码添加了特殊的cookie检查作为访问控件。

下载，运行，然后删除的PHP管理器是一个下载域名列表的Python程序，在这些域名上列举WordPress博客的用户，并试图猜测工作密码。使用xmlrpc.php调用猜测密码，而不是通过WordPress登录页面进行猜测。

574电子邮件垃圾邮件工具的实例下载到7种不同类型的Web壳，然后559尝试通过垃圾邮件工具URL发送测试电子邮件。我为该分布式系统提出了一个假设的设计。

2019-11-01捕获了类似的运动

我见过的最后续的下载。 WSO 2.1 Web Shell，带有两个手机，还下载了Leafmail Mailing工具和WSO 2.6 Web Shell。

B374K Web Shell的实例，该实例从GoogleUsercontent.com JPEG Image的EXIF数据中获取一些代码。

B374K Web Shell的后代，可能是v2.2

我手工编码的FOPO编码的WSO webshel​​l，因为我不相信它确实是FOPO编码的。到达了交付K4X壳的相同运动。

与login_wall假插件一起下载了中等能力的Web壳。可能与C99 Web Shell有关。

ring.php web壳的另一个自动编码实例。混淆已经改变了，这不是登录_WALL下载的一部分。

gsptg.php似乎试图说服网络爬网，蜘蛛，搜索引擎和机器人经常回来。普通的人可能会继续看到受感染的WordPress网站，但它也会向用户发送.KR域提及的用户，或者在浏览器中使用韩语语言转换为新URL。

通过ring.php下载

在2017-11-23到2018-05-03之间收到的一批恶意软件，共享一种常见的加密方法。该加密似乎来自WSO 4.x系列的Web壳，但其键短（8 vs 44字节）。至少有52种不同的下载，包括4个穆布哈德实例，看到某人使用非平凡加密是令人耳目一新的。

Mumblehard Botnet：继电器TCP/IP连接的服务器，以及由Cron执行的持久有效负载，可以从命令和控制服务器下载代码，然后启动运行。

通过WSO 4.x下载，我的蜂蜜锅抓住了一个进化的喃喃自语。

对我捕获的44个哑巴实例的检查，以查看代码和方法如何随着时间的流逝而进行。

受密码保护的，插件的可扩展后门。

2019-05-09，我下载了此后门的V3-01。里面有很多有趣的东西。

Quttera博客条目提供了这些后门的非特定描述。

一个面向对象的滴管，从程序编码的cookie-cookie back Door的滴管中下降。对真正的WSO的攻击将留下可扩展的后门v2.0-1。

广告系列将安装V1-01可扩展的后门。攻击者试图在安装之前验证工作WSO Web Shell目标。

在2019-07-07捕获了第二场运动

有人试图仅在我的网站上访问超过100万个时间的后门。本身很愚蠢，但显然存在这个后门的地下市场。

伪装成插件的恶意软件的集合正在积极开发中。

一个真实但非常糟糕的插件的特洛伊木马版本，名为“ Exec-PHP”。

B374K的链接可以从Pastebin下载此功能中等能力的Web壳。

一个伪造的主题，配有一个WSO Web Shell打电话回家的WSO壳，以及较早版本的webroot.php 。

另一个折衷的WordPress主题，其中包含一个看似随机的恶意软件的补充。

webrot.php的亲戚，有时被称为“ webrootv3”。后壳比摇杆要多。

适度的后门：保存和执行文件，以及立即的PHP评估。使用本机PHP RC4加密进行密码和传输数据。

一个小的，高度混淆的直接效果后门。混淆的第一层可能是多态性的，每隔一段时间或每次安装。

创建一个.htaccess文件，该文件将用户重定向到yourstockexpert.su，Googlebot，bingbot和baiduspider获得404。

撤消任何文件名更改，也可能会调用警惕性恶意软件清洁器的调用。这似乎很奇怪，因为“ .Spospected”文件名投诉已出现，但并非如此。也许是垃圾间战争？

WSO 2.5 Web Shell通过添加其他各种黑客黑客工具的代码进行了重大修改。

3.993 Second WSO（Orb的Web Shell，aka“ filesman”）安装，只有八个HTTP请求，包括Cold WordPress登录。

通过apikey.php安装的新颖，但奇怪的WSO 2.5。 apikey.php将是通过使用恶意插件的插件更新安装的，因此这不像apikey.php通过WSO实例安装那样圆形。

另一个WSO 2.5编辑了一些，称为2.6，并在滴管中打包，可能无法正常工作。 Chinafans污损尝试后约一个小时到达。

在WSO 2.5 Webshel​​l安装之前，来自同一中文IP地址的人试图安装污损。

我的蜂蜜锅都曾经看到过的所有密码用于登录WSO实例。

Web利用工具的打击是什么样的。

伪装成插件的黑客工具，牵涉到孟加拉国黑客剧组。

WordPress和Joomla的远程管理员Trojans。

显然，试图通过链接垃圾邮件将中国网络流量引导到澳门赌场。搜索引擎难道不太复杂，无法使用吗？

修改所有.asp，.aspx，.php和.jsp文件，它们具有分配给变量名称remote_server ，以将“ www.guanjianfalan.com”分配给该变量。

上载了两个Zip-Format文件，其中一个是WSO 2.5，带有一些摄影代码。另一个ZIP文件具有可执行文件的精灵形式和一小部分PHP，可以在后台运行该可执行文件。

似乎是某种搜索引擎优化的东西。它为“人类”或“ bot”调用者提供了不同的结果。当它确定您是“机器人”时，它会要求服务器以填写模板HTML。失败，它从ask.com或yahoo.com获取文字

将PHP文件留在后面的滴管，然后将PHP代码注入每个主题的header.php 。如果主题注入确定访问是从“ bot”（基本上是每个搜索引擎，以及许多轨道库）中的访问，则它将从zalroews.pw获得HTML，以转回“ bot”。

一项12个访问活动，以安装后门。在20秒内从12个不同的IP地址访问，试图下载2个单独观察的后门之一。

12次重点，大约30秒的活动，安装了2种不同的Malwares，变体WSO 2.5和Leafmailer。

本机PHP袜子服务器。我经常看到perl，甚至被汇编（“ Bouncer”）袜子服务器下载。您可以在某些地下市场上出售袜子服务器吗？这样的切口有价值吗？

一个简短的（11秒，17个HTTP请求）活动，想要安装Perl简单的袜子服务器代码，但失败了，可能是因为我的WSO仿真还不够准确。

三次尝试安装电子邮件垃圾邮件工具的尝试，其中34秒后尝试调用该工具。

两种版本的东西。

C99网络外壳在10-12级混淆。

简单的Web壳，将自己归功于印尼URL。

一个简单的后门，具有足够的功能，可以使人使用它而不会过多自动化。使用很容易被自动化。如果您知道魔术HTTP参数，则可能会被扭结，因为它具有后门本身。

通过WSO Web壳发送的电子邮件垃圾邮件可追溯到2015年。

电子邮件垃圾邮件工具，将单个邮政请求爆炸到多个电子邮件中。具有“检查”功能，该功能在各种电子邮件黑列表中查找折衷机器的IP地址。

简单，经过合理仔细编码的到序。

另一个小的，精心编码的账号。

WSO“ Orb” Web Shell，由WSO先前安装的实例下载。

一个电子邮件垃圾邮件工具，并附有WSO Web Shell。配有“电话主页”代码，以通知乌克兰网站有人调用该程序。

知道如何识别24种不同的CMS系统和框架。响应HTTP帖子，其中包含序列化的摘要，以介绍其发现的CMS和框架。

具有现代化的WebApp外观，功能齐全的中文网络壳。

通过mod_rewrite COMANDS将手机浏览器重定向到其他URL，中的root .htaccess文件中。

下载执行后的PHP代码，创建一个HTML文件。下载的IP地址立即尝试访问HTML文件，因此这可能只是访问验证。

创建一个.htaccess文件，该文件可能会重定向到俄罗斯的Boner Pill网站。评论的代码可能会检查受损的主机在黑色列表中的存在。

我假设这是Apache虚拟主机目录侦察工具。寻找具有150多个域名的目录名称出现后缀，似乎强调了俄罗斯和东欧国家法规。

修改后的phpspy Web Shell（伪装成GIF文件）作为主题更新下载。修改至少是将某些标签更改为土耳其语，并添加“电话归宿”代码，使土耳其的某人知道网络壳已经执行。小偷之间没有荣誉！？！

古代Superfetchexec PHP恶意软件，仍然使用与2012年使用的相同旧XOR字符串。

源自Orb的Web Shell有些修改，源自版本2.5或可能是2.9。许多层次的混淆。

一个真实的（尽管可能是非许可）文件管理器插件，非法安装。有趣的双重使用COTS技术。

电子邮件垃圾邮件工具，其中所有电子邮件/袜子/垃圾邮件参数均在HTTP cookie中传输。

一个中介，编码和混淆，适合我的特定蜂蜜罐，它是下载器和另一个网站之间的剪裁。在该网站上执行SQL注入测试。

依靠WSO 2.9变体执行的滴管，除了其base64编码被弄乱了。丢弃一个可以（a）删除所有.htaccess文件以记录根的PHP程序，或（b）生成一些不兼手的JavaScript，将您重定向到Scammy网站。

在http cookie中也命名的http cookie中指定的http cookie中执行函数的一小部分模糊的PHP。比听起来更混淆。

注射ASP代码的PHP本身将HTML超链接放入ASP生成的HTML中。在折衷的WordPress网站上使用的奇数选择，该网站可能托管在Linux上。

一个包含两个phpspy Web壳的WordPress主题，以及一个基于Web的文件管理器，可以打电话回家。

一个加密后门。

访问验证/PHP执行和文件下载器。

Apikey.php文件网关的功能更强大，更强大的版本，以及通过更强大的版本下载的立即评估后门。

一个相当普通的，不易的文件上传和下载实用程序。

“ COTS”电子邮件垃圾邮件工具。但是，我不确定Leafmail的业务模式是什么。似乎不是为此付出的一种方式。

更名的Leafmailer版本。

没错，OOD走得太远了，面向对象的立即评估后门。

简单的HTTP帖子后门，带有可疑的文件名。

混淆可能执行两次代码的PHP。

简单上传器输出一块文本，破坏其隐藏的能力。

似乎使用assert()评估HTTP POST请求中传递的代码的某种惠特的后门。 Akismet插件的更新极为破元，使用了旧版本，但也会发表评论。

构成并返回一个机器可靠的字符串，其中包含有关Web服务器的文件系统，运行PHP或Web服务器的用户ID以及“ UNAME”输出的信息。 Web服务器一无所知，这是有道理的，因为此侦察代码已下载到被认为是现有的后门。

WSO 2.5 Web壳，带有新颖的2步混淆。攻击者还添加了一些反搜索问题代码。最有趣的。

通过WSO下载的PHP文件，该文件解码并浏览了一些编码的PHP。编码的PHP有效载荷和解码PHP的混淆。

电子邮件垃圾邮件，下载可能在3个不同的网络外壳或后门中工作。似乎是垃圾邮件活动的一部分，我的蜂蜜锅收到了更多的，略有不同的电子邮件。

“ Rebels Mailer” Web前端电子邮件垃圾邮件工具，即时PHP评估器和本地文件包含后门的实例。

可以使用Post参数值从折衷机器发送电子邮件的小型PHP程序，从而隐藏了电子邮件的真实来源。

直接划分的PHP文件。实际的下载尝试出现了双重，大概是为了允许2个不同的Web外壳安装它。

安装人员将某些东西将折磨的WordPress网站变成SEO网站，可能会将在线药品兜售给日本或中国用户。

根据GNU GPL V2许可的实际轻巧，快速的文件管理器。

Smallish，297行编码文件经理，土耳其语。

另一个用于“黑客”的单文件管理器应用程序。

PHP下载到WSO Web Shell。当使用正确的获取参数调用时，可以检查它的主机名是在Google安全的浏览中以不安全或SPAMHAUS的块列表中的“ hostName”。

交互式网页将测试电子邮件发送到调用者的选择。

下载到WSO的即时评估操作。测试是否可以编写文件，然后在PHP中执行简单的算术。

多亏了沙特阿拉伯的苏莱曼·哈克（Suleiman Haker）！不过，苏利曼·哈克（Suliman Haker）写了高质量的HTML。