php malware analysis

我通過運行WordPress Honey Pot獲得的PHP源代碼的粗略分析。

這說明了我認為黑客WordPress網站所做的底部饋線，一旦他們違法地訪問了新的WordPress實例或主機。從任何方面都不是科學的。我只是在解碼到達一個蜂蜜罐的惡意軟件，而我只是在解碼這些似乎很有趣的部分，因為下載，混淆或獨特的內容。因此，奇數過多。

這些PHP惡意軟件集合在野外發現，屬於許多類別：

• 電子郵件垃圾郵件工具
• 訪問驗證
• 偵察，具有子類別
• 網絡殼
• 後門
• 襪子服務器
• HTTP重定向器
• 文件經理
• 密碼猜測者

發生了一些組合：Web殼，尤其是WSO，通常被用作後門（PHP Action，RC操作）。訪問驗證是偵察的一種形式。

偵察有時只是查看存在哪些CMS/框架，但是其他時候收集有關用戶ID，類型和版本，文件系統提示的信息，僅對潛在的橫向移動有用。 getDomains偵察似乎兩者都一樣。

在我看來，這種收集和分析有“交叉切割”方面。

• 密碼猜測活動
• 下載方法，與其他惡意軟件的通用性
• 常見的“滴管”代碼用法
• 常見的電話家代碼
• 常見的背面殼代碼（通常是Perl）
• 編碼/加密的方法（例如FOPO）
• 攻擊IP的地理位置
• 與特定惡意軟件相關的廣告系列
• 隨後訪問已下載的代碼
• 下載代碼的先前訪問（ES）
• 用於猜測的常見密碼列表

檢查損害網站文件的PHP片段的代碼表明這些文件可能是惡意軟件。重命名，刪除或維修可疑文件，這可能會使大多數不起作用。將代碼注入WSO Web外殼中，該代碼添加了特殊的cookie檢查作為訪問控件。

下載，運行，然後刪除的PHP管理器是一個下載域名列表的Python程序，在這些域名上列舉WordPress博客的用戶，並試圖猜測工作密碼。使用xmlrpc.php調用猜測密碼，而不是通過WordPress登錄頁面進行猜測。

574電子郵件垃圾郵件工具的實例下載到7種不同類型的Web殼，然後559嘗試通過垃圾郵件工具URL發送測試電子郵件。我為該分佈式系統提出了一個假設的設計。

2019-11-01捕獲了類似的運動

我見過的最後續的下載。 WSO 2.1 Web Shell，帶有兩個手機，還下載了Leafmail Mailing工具和WSO 2.6 Web Shell。

B374K Web Shell的實例，該實例從GoogleUsercontent.com JPEG Image的EXIF數據中獲取一些代碼。

B374K Web Shell的後代，可能是v2.2

我手工編碼的FOPO編碼的WSO webshel​​l，因為我不相信它確實是FOPO編碼的。到達了交付K4X殼的相同運動。

與login_wall假插件一起下載了中等能力的Web殼。可能與C99 Web Shell有關。

ring.php web殼的另一個自動編碼實例。混淆已經改變了，這不是登錄_WALL下載的一部分。

gsptg.php似乎試圖說服網絡爬網，蜘蛛，搜索引擎和機器人經常回來。普通的人可能會繼續看到受感染的WordPress網站，但它也會向用戶發送.KR域提及的用戶，或者在瀏覽器中使用韓語語言轉換為新URL。

通過ring.php下載

在2017-11-23到2018-05-03之間收到的一批惡意軟件，共享一種常見的加密方法。該加密似乎來自WSO 4.x系列的Web殼，但其鍵短（8 vs 44字節）。至少有52種不同的下載，包括4個穆布哈德實例，看到某人使用非平凡加密是令人耳目一新的。

Mumblehard Botnet：繼電器TCP/IP連接的服務器，以及由Cron執行的持久有效負載，可以從命令和控制服務器下載代碼，然後啟動運行。

通過WSO 4.x下載，我的蜂蜜鍋抓住了一個進化的喃喃自語。

對我捕獲的44個啞巴實例的檢查，以查看代碼和方法如何隨著時間的流逝而進行。

受密碼保護的，插件的可擴展後門。

2019-05-09，我下載了此後門的V3-01。裡面有很多有趣的東西。

Quttera博客條目提供了這些後門的非特定描述。

一個面向對象的滴管，從程序編碼的cookie-cookie back Door的滴管中下降。對真正的WSO的攻擊將留下可擴展的後門v2.0-1。

廣告系列將安裝V1-01可擴展的後門。攻擊者試圖在安裝之前驗證工作WSO Web Shell目標。

在2019-07-07捕獲了第二場運動

有人試圖僅在我的網站上訪問超過100萬個時間的後門。本身很愚蠢，但顯然存在這個後門的地下市場。

偽裝成插件的惡意軟件的集合正在積極開發中。

一個真實但非常糟糕的插件的特洛伊木馬版本，名為“ Exec-PHP”。

B374K的鏈接可以從Pastebin下載此功能中等能力的Web殼。

一個偽造的主題，配有一個WSO Web Shell打電話回家的WSO殼，以及較早版本的webroot.php 。

另一個折衷的WordPress主題，其中包含一個看似隨機的惡意軟件的補充。

webrot.php的親戚，有時被稱為“ webrootv3”。後殼比搖桿要多。

適度的後門：保存和執行文件，以及立即的PHP評估。使用本機PHP RC4加密進行密碼和傳輸數據。

一個小的，高度混淆的直接效果後門。混淆的第一層可能是多態性的，每隔一段時間或每次安裝。

創建一個.htaccess文件，該文件將用戶重定向到yourstockexpert.su，Googlebot，bingbot和baiduspider獲得404。

撤消任何文件名更改，也可能會調用警惕性惡意軟件清潔器的調用。這似乎很奇怪，因為“ .Spospected”文件名投訴已出現，但並非如此。也許是垃圾間戰爭？

WSO 2.5 Web Shell通過添加其他各種黑客黑客工具的代碼進行了重大修改。

3.993 Second WSO（Orb的Web Shell，aka“ filesman”）安裝，只有八個HTTP請求，包括Cold WordPress登錄。

通過apikey.php安裝的新穎，但奇怪的WSO 2.5。 apikey.php將是通過使用惡意插件的插件更新安裝的，因此這不像apikey.php通過WSO實例安裝那樣圓形。

另一個WSO 2.5編輯了一些，稱為2.6，並在滴管中打包，可能無法正常工作。 Chinafans污損嘗試後約一個小時到達。

在WSO 2.5 Webshel​​l安裝之前，來自同一中文IP地址的人試圖安裝污損。

我的蜂蜜鍋都曾經看到過的所有密碼用於登錄WSO實例。

Web利用工具的打擊是什麼樣的。

偽裝成插件的黑客工具，牽涉到孟加拉國黑客劇組。

WordPress和Joomla的遠程管理員Trojans。

顯然，試圖通過鏈接垃圾郵件將中國網絡流量引導到澳門賭場。搜索引擎難道不太複雜，無法使用嗎？

修改所有.asp，.aspx，.php和.jsp文件，它們具有分配給變量名稱remote_server ，以將“ www.guanjianfalan.com”分配給該變量。

上載了兩個Zip-Format文件，其中一個是WSO 2.5，帶有一些攝影代碼。另一個ZIP文件具有可執行文件的精靈形式和一小部分PHP，可以在後台運行該可執行文件。

似乎是某種搜索引擎優化的東西。它為“人類”或“ bot”調用者提供了不同的結果。當它確定您是“機器人”時，它會要求服務器以填寫模板HTML。失敗，它從ask.com或yahoo.com獲取文字

將PHP文件留在後面的滴管，然後將PHP代碼注入每個主題的header.php 。如果主題註入確定訪問是從“ bot”（基本上是每個搜索引擎，以及許多軌道庫）中的訪問，則它將從zalroews.pw獲得HTML，以轉回“ bot”。

一項12個訪問活動，以安裝後門。在20秒內從12個不同的IP地址訪問，試圖下載2個單獨觀察的後門之一。

12次重點，大約30秒的活動，安裝了2種不同的Malwares，變體WSO 2.5和Leafmailer。

本機PHP襪子服務器。我經常看到perl，甚至被彙編（“ Bouncer”）襪子服務器下載。您可以在某些地下市場上出售襪子服務器嗎？這樣的切口有價值嗎？

一個簡短的（11秒，17個HTTP請求）活動，想要安裝Perl簡單的襪子服務器代碼，但失敗了，可能是因為我的WSO仿真還不夠準確。

三次嘗試安裝電子郵件垃圾郵件工具的嘗試，其中34秒後嘗試調用該工具。

兩種版本的東西。

C99網絡外殼在10-12級混淆。

簡單的Web殼，將自己歸功於印尼URL。

一個簡單的後門，具有足夠的功能，可以使人使用它而不會過多自動化。使用很容易被自動化。如果您知道魔術HTTP參數，則可能會被扭結，因為它具有後門本身。

通過WSO Web殼發送的電子郵件垃圾郵件可追溯到2015年。

電子郵件垃圾郵件工具，將單個郵政請求爆炸到多個電子郵件中。具有“檢查”功能，該功能在各種電子郵件黑列表中查找折衷機器的IP地址。

簡單，經過合理仔細編碼的到序。

另一個小的，精心編碼的賬號。

WSO“ Orb” Web Shell，由WSO先前安裝的實例下載。

一個電子郵件垃圾郵件工具，並附有WSO Web Shell。配有“電話主頁”代碼，以通知烏克蘭網站有人調用該程序。

知道如何識別24種不同的CMS系統和框架。響應HTTP帖子，其中包含序列化的摘要，以介紹其發現的CMS和框架。

具有現代化的WebApp外觀，功能齊全的中文網絡殼。

通過mod_rewrite COMANDS將手機瀏覽器重定向到其他URL，中的root .htaccess文件中。

下載執行後的PHP代碼，創建一個HTML文件。下載的IP地址立即嘗試訪問HTML文件，因此這可能只是訪問驗證。

創建一個.htaccess文件，該文件可能會重定向到俄羅斯的Boner Pill網站。評論的代碼可能會檢查受損的主機在黑色列表中的存在。

我假設這是Apache虛擬主機目錄偵察工具。尋找具有150多個域名的目錄名稱出現後綴，似乎強調了俄羅斯和東歐國家法規。

修改後的phpspy Web Shell（偽裝成GIF文件）作為主題更新下載。修改至少是將某些標籤更改為土耳其語，並添加“電話歸宿”代碼，使土耳其的某人知道網絡殼已經執行。小偷之間沒有榮譽！？！

古代Superfetchexec PHP惡意軟件，仍然使用與2012年使用的相同舊XOR字符串。

源自Orb的Web Shell有些修改，源自版本2.5或可能是2.9。許多層次的混淆。

一個真實的（儘管可能是非許可）文件管理器插件，非法安裝。有趣的雙重使用COTS技術。

電子郵件垃圾郵件工具，其中所有電子郵件/襪子/垃圾郵件參數均在HTTP cookie中傳輸。

一個中介，編碼和混淆，適合我的特定蜂蜜罐，它是下載器和另一個網站之間的剪裁。在該網站上執行SQL注入測試。

依靠WSO 2.9變體執行的滴管，除了其base64編碼被弄亂了。丟棄一個可以（a）刪除所有.htaccess文件以記錄根的PHP程序，或（b）生成一些不兼手的JavaScript，將您重定向到Scammy網站。

在http cookie中也命名的http cookie中指定的http cookie中執行函數的一小部分模糊的PHP。比聽起來更混淆。

注射ASP代碼的PHP本身將HTML超鏈接放入ASP生成的HTML中。在折衷的WordPress網站上使用的奇數選擇，該網站可能託管在Linux上。

一個包含兩個phpspy Web殼的WordPress主題，以及一個基於Web的文件管理器，可以打電話回家。

一個加密後門。

訪問驗證/PHP執行和文件下載器。

Apikey.php文件網關的功能更強大，更強大的版本，以及通過更強大的版本下載的立即評估後門。

一個相當普通的，不易的文件上傳和下載實用程序。

“ COTS”電子郵件垃圾郵件工具。但是，我不確定Leafmail的業務模式是什麼。似乎不是為此付出的一種方式。

更名的Leafmailer版本。

沒錯，OOD走得太遠了，面向對象的立即評估後門。

簡單的HTTP帖子後門，帶有可疑的文件名。

混淆可能執行兩次代碼的PHP。

簡單上傳器輸出一塊文本，破壞其隱藏的能力。

似乎使用assert()評估HTTP POST請求中傳遞的代碼的某種惠特的後門。 Akismet插件的更新極為破元，使用了舊版本，但也會發表評論。

構成並返回一個機器可靠的字符串，其中包含有關Web服務器的文件系統，運行PHP或Web服務器的用戶ID以及“ UNAME”輸出的信息。 Web服務器一無所知，這是有道理的，因為此偵察代碼已下載到被認為是現有的後門。

WSO 2.5 Web殼，帶有新穎的2步混淆。攻擊者還添加了一些反搜索問題代碼。最有趣的。

通過WSO下載的PHP文件，該文件解碼並瀏覽了一些編碼的PHP。編碼的PHP有效載荷和解碼PHP的混淆。

電子郵件垃圾郵件，下載可能在3個不同的網絡外殼或後門中工作。似乎是垃圾郵件活動的一部分，我的蜂蜜鍋收到了更多的，略有不同的電子郵件。

“ Rebels Mailer” Web前端電子郵件垃圾郵件工具，即時PHP評估器和本地文件包含後門的實例。

可以使用Post參數值從折衷機器發送電子郵件的小型PHP程序，從而隱藏了電子郵件的真實來源。

直接劃分的PHP文件。實際的下載嘗試出現了雙重，大概是為了允許2個不同的Web外殼安裝它。

安裝人員將某些東西將折磨的WordPress網站變成SEO網站，可能會將在線藥品兜售給日本或中國用戶。

根據GNU GPL V2許可的實際輕巧，快速的文件管理器。

Smallish，297行編碼文件經理，土耳其語。

另一個用於“黑客”的單文件管理器應用程序。

PHP下載到WSO Web Shell。當使用正確的獲取參數調用時，可以檢查它的主機名是在Google安全的瀏覽中以不安全或SPAMHAUS的塊列表中的“ hostName”。

交互式網頁將測試電子郵件發送到調用者的選擇。

下載到WSO的即時評估操作。測試是否可以編寫文件，然後在PHP中執行簡單的算術。

多虧了沙特阿拉伯的蘇萊曼·哈克（Suleiman Haker）！不過，蘇利曼·哈克（Suliman Haker）寫了高質量的HTML。