Bot webshell 样本分析与反查
0x01背景&概述
某日,由”源汉”同学发来一个PHP脚本,说是某用户提供的,叫我帮忙分析下是否是一个后门。经过仔细分析,发现该脚本编写思路特有意思,后续经过深挖发现,其实这是“老外”的一个“黑色产品”。下面来具体分析下该webshell,以及与传统后门的区别。
0x02 分析
该webshell的部分代码如下图,其中关键是红色隐去的部分,请求一个远程地址。
截获的PHP木马脚本与传统的webshell有一个非常大的区别:
1)传统的webshell是处于一个被动式的脚本,黑客要使用webshell需要主动去访问这个webshell;
2)该webshell是相反的,webshell会不断的去读取一个远程的页面这个地址是一个管理平台,攻击者只需要在平台修改相应的命令就能达到控制所有“肉鸡”的目的,通过对样本的分析发现脚本的管理地址为:
http://162.xxx.xx.xx
而这个文件只要包含到一个常用的文件里,每次有人访问就会去请求远端的命令页面,获取指令,进行恶意攻击等等。打开该管理地址为如下界面:
后续通过技术手段(此处省略100字……)登入了该平台,登入平台后发现该平台能对肉鸡实现操作:
1)Udp flood 攻击;2)执行php code ;3)执行系统命令;4)下载目标程序。
只需要到平台填入相应的指令后,每台肉鸡就会不断的访问http://162.xxx.xxx.xxx/inc/bot.php 这个地址,获取需要执行的命令:
0x03 差异
传统的webshell以及ddos脚本都为被动式的一个访问方式,需要攻击者主动去访问发起命令
Bot webshell主动去获取指令然后执行
由于现在云waf的普及,传统的webshell&ddos这类恶意脚本会被waf拦截,导致无法使用,而bot webshell,是一个反向的形式,导致传统的waf 都无法拦截防御。
0x04 本次被控肉鸡统计分析
通过登入该控制平台发现被控制的肉鸡数量已经达到1305台。下图是控制平台的控制界面。
下图是具体的“肉鸡”(部分)。
且这个 数量一直在增加。经过统计分析各国的被控制情况如下:
其中,美国肉鸡数量排名第一,中国台湾和中国大陆分列二、三位。
0x05 总结
随着WAF防护技术的不断进步,传统后门已逐渐没有了用武之地,这促使了新的攻击手段的出现,此文分享的Bot Webshell就是新兴攻击手段的典型代表。因此,各类防护产品的防护手段必须与时俱进。让我们引用某微博大牛的话:做技术的时刻提醒自己不要变成那只青蛙
- 08-05Rootkit隐藏进程和端口检测
- 08-05在基于意图的隔离面前 零信任也认怂
- 08-05拼多多一夜被薅200多亿?
- 08-05你已关闭了的浏览器还可能被利用来挖矿, chrome已中招
- 08-05用Ftype命令让病毒白白运行
- 08-05天才黑客:2个学位 会开飞机 工作在NASA 年仅17
- 11-06深度揭秘黑客6种常见攻击方式
- 09-23黑客高手教您如何预防流量僵尸?
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复