Bot webshell 样本分析与反查

 0x01背景&概述

某日，由”源汉”同学发来一个PHP脚本，说是某用户提供的，叫我帮忙分析下是否是一个后门。经过仔细分析，发现该脚本编写思路特有意思，后续经过深挖发现，其实这是“老外”的一个“黑色产品”。下面来具体分析下该webshell，以及与传统后门的区别。

0x02 分析

该webshell的部分代码如下图，其中关键是红色隐去的部分，请求一个远程地址。

截获的PHP木马脚本与传统的webshell有一个非常大的区别：

1）传统的webshell是处于一个被动式的脚本，黑客要使用webshell需要主动去访问这个webshell；

2）该webshell是相反的，webshell会不断的去读取一个远程的页面这个地址是一个管理平台，攻击者只需要在平台修改相应的命令就能达到控制所有“肉鸡”的目的，通过对样本的分析发现脚本的管理地址为：

http://162.xxx.xx.xx 

后续通过技术手段（此处省略100字……）登入了该平台，登入平台后发现该平台能对肉鸡实现操作：

1）Udp flood 攻击；2）执行php code ；3）执行系统命令；4）下载目标程序。

只需要到平台填入相应的指令后，每台肉鸡就会不断的访问http://162.xxx.xxx.xxx/inc/bot.php 这个地址，获取需要执行的命令：

0x03 差异

传统的webshell以及ddos脚本都为被动式的一个访问方式，需要攻击者主动去访问发起命令

Bot webshell主动去获取指令然后执行

由于现在云waf的普及，传统的webshell&ddos这类恶意脚本会被waf拦截，导致无法使用，而bot webshell，是一个反向的形式，导致传统的waf 都无法拦截防御。

0x04 本次被控肉鸡统计分析

通过登入该控制平台发现被控制的肉鸡数量已经达到1305台。下图是控制平台的控制界面。

下图是具体的“肉鸡”（部分）。

且这个 数量一直在增加。经过统计分析各国的被控制情况如下：

其中，美国肉鸡数量排名第一，中国台湾和中国大陆分列二、三位。

0x05 总结

随着WAF防护技术的不断进步，传统后门已逐渐没有了用武之地，这促使了新的攻击手段的出现，此文分享的Bot Webshell就是新兴攻击手段的典型代表。因此，各类防护产品的防护手段必须与时俱进。让我们引用某微博大牛的话：做技术的时刻提醒自己不要变成那只青蛙