Bot webshell 样本分析与反查

浏览:
字体:
发布时间:2013-12-20 16:18:22
来源:

 0x01背景&概述

  

某日,由”源汉”同学发来一个PHP脚本,说是某用户提供的,叫我帮忙分析下是否是一个后门。经过仔细分析,发现该脚本编写思路特有意思,后续经过深挖发现,其实这是“老外”的一个“黑色产品”。下面来具体分析下该webshell,以及与传统后门的区别。

 

0x02 分析

 

该webshell的部分代码如下图,其中关键是红色隐去的部分,请求一个远程地址。

/

截获的PHP木马脚本与传统的webshell有一个非常大的区别:

1)传统的webshell是处于一个被动式的脚本,黑客要使用webshell需要主动去访问这个webshell;

2)该webshell是相反的,webshell会不断的去读取一个远程的页面这个地址是一个管理平台,攻击者只需要在平台修改相应的命令就能达到控制所有“肉鸡”的目的,通过对样本的分析发现脚本的管理地址为:

http://162.xxx.xx.xx 
而这个文件只要包含到一个常用的文件里,每次有人访问就会去请求远端的命令页面,获取指令,进行恶意攻击等等。
打开该管理地址为如下界面:

 

/

后续通过技术手段(此处省略100字……)登入了该平台,登入平台后发现该平台能对肉鸡实现操作:

1)Udp flood 攻击;2)执行php code ;3)执行系统命令;4)下载目标程序。

 

/

只需要到平台填入相应的指令后,每台肉鸡就会不断的访问http://162.xxx.xxx.xxx/inc/bot.php 这个地址,获取需要执行的命令:

/

0x03 差异

传统的webshell以及ddos脚本都为被动式的一个访问方式,需要攻击者主动去访问发起命令

/

Bot webshell主动去获取指令然后执行

/

由于现在云waf的普及,传统的webshell&ddos这类恶意脚本会被waf拦截,导致无法使用,而bot webshell,是一个反向的形式,导致传统的waf 都无法拦截防御。

0x04 本次被控肉鸡统计分析

通过登入该控制平台发现被控制的肉鸡数量已经达到1305台。下图是控制平台的控制界面。

/

下图是具体的“肉鸡”(部分)。

/

且这个 数量一直在增加。经过统计分析各国的被控制情况如下:

/

其中,美国肉鸡数量排名第一,中国台湾和中国大陆分列二、三位。

0x05 总结

随着WAF防护技术的不断进步,传统后门已逐渐没有了用武之地,这促使了新的攻击手段的出现,此文分享的Bot Webshell就是新兴攻击手段的典型代表。因此,各类防护产品的防护手段必须与时俱进。让我们引用某微博大牛的话:做技术的时刻提醒自己不要变成那只青蛙

>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2024 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();