Author:360天眼安全實驗室
人在做,天在看。
黑產乃法外之地,被叢林法則所支配。沒有了第三方強制力量的保障和監督,在那個圈子里我們可以看到兩個極端:想做大生意的往往極重信譽,而那些只想撈一票就走的則會肆無忌憚地黑吃黑。
2015年12月中,360天眼實驗室發布了“網絡小黑揭秘系列之黑色SEO初探”,簡單揭露了下網絡上的黑色SEO活動,同時也提到了很多黑客工具中帶有后門,其中就包括了某些使用面非常廣的工具。沒錯,這回我們的主角是小黑們最喜聞樂見的中國菜刀。
菜刀,廚房切菜之利器,亦可用于砍人。中國菜刀(China Chopper)亦是如此,它是一款支持多種語言的非常優秀的WebShell管理程序,可用于正常的網站管理,亦可以用于非法控制管理他人網站,總之是站長居家旅行助手、黑客殺人越貨利器。據說作者是一退伍軍人,國內有人寫了簡評并借鬼仔’s Blog【1】發布,國外亦有FireEye【2】寫了詳細的剖析報告。
通過360云安全的大數據查看菜刀官網(http://www.maicaidao.com)的站點數據,官網在2014年的12月份發布caidao-20141213(http://www.maicaidao.com/caidao-20141213.zip)版本之后沒幾天,就停止下載并且關閉了網站(域名IP曾一度指向了GOOGLE.COM),關站的誘因可能是因為Freebuf上發了一篇名為“強大的網站管理軟件 – 中國菜刀20141213新版發布”的介紹文章配【3】。雖然中國菜刀的官網早已關閉,但好東西自有它的生命力,從某種意義上說中國菜刀已經是一個品牌甚至用現在最火的概念來說已經成為一個IP,官方的支持不再重要,自有人來維護傳播它,當然,也包括了里面夾帶的私貨——也就是后門。
其實,之前已經有很多人寫過中國菜刀的后門,本文無意再作重復,以下主要對采用“db.tmp”模式的后門做下簡要的分析。
通過對收集到的大量樣本進行分析,發現這些帶有后門的中國菜刀都基本上通過修改原版的某些特征來繞過“安全狗”等Web安全防護軟件,同時修改PE的導入表引入一個動態鏈接的后門模塊。為了通過迷惑用戶而不被發現,將后門的名字偽裝成數據庫的臨時文件,也就是“db.tmp”,因為“中國菜刀”的默認數據庫文件名為“db.mdb”。
caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b
對“db.tmp”進行匯總分析,發現PE文件時間戳是偽造的,也就無法通過這個屬性進行分類。根據文件大小大致能分成兩個版本:一個32K大小的早期版本,另外一個36K大小的改進版本。兩個版本的實際功能都差不多,使用VB6編寫,通過對這些文件進行二進制比較確認相同版本的文件大小相同而后門地址不一樣,應該是有使用模版生成器來進行生成。
對“db.tmp”進行反匯編分析,發現帶后門的菜刀會針對抓包軟件進行行為隱藏,當發現系統中有以下進程的時候不執行后門行為動作,使其逃過可能的監視。
|WSockExpert_cn.exe|WSockExpert.exe|CHKenCap.exe|SmartSniff.exe|hookME.exe|NetworkTrafficView.exe|smsniff.exe|tcpmon.exe|HttpAnalyzerStdV6.exe|Csnas.exe|Wireshark.exe|
通過循環讀取mdb數據庫中的SiteUrl的值并進行判斷,排除“http://www.maicaidao.com/”(目的是為了排除中國菜刀默認生成的示例信息)后繼續讀取SitePass、nCodePage、Config字段值,最后和程序中所配置的后門地址“http://cd.myth321.com/index.asp||||||||”進行拼接,發送數據完成Webshell信息的上傳。
樣本本身從技術上其實沒多少可說的,保證效果真正的手段是其傳播方法,這個決定了后門操盤手能最終收割多少。以下是我們確認的一些傳播渠道:
在手上有大量的Webshell之后,后門菜刀的幕后操刀手可以很方便的利用這些Webshell將自己的網站SEO到一個比較理想的位置。在某搜索引擎的第一頁結果中,我們可以看到除了推廣鏈接排名在第一位,第二位和第三位都是SEO上去的假官網。
我們將仿冒的官網域名列舉如下,基于360的大數據統計了2015年12月07日至16日共計十天的PVUV訪問量,從數據來看SEO還是有些效果的。
大家是否還記得2012年年初,曾有人在某搜索引擎中購買putty、winscp、SSHSecure等ssh工具的關鍵詞,使很多人通過該引擎搜索時點擊了推廣鏈接,跳轉到所謂的中文網站并下載運行了包含后門的中文版工具,該后門會將用戶連接過的服務器IP地址、端口號、用戶名及密碼上傳至“l.ip-163.com”這個網站,事情曝光后有白帽子在第一時間通過技術手段發現該服務器已經使數千人中招,甚至包括某些國際大廠的員工。“中國菜刀”這么受歡迎的工具,如果SEO效果不好,購買搜索引擎關鍵詞進行推廣是一個比較理想的高效推廣手段。經過簡單的測試,發現這些帶有后門的“中國菜刀”在某搜索引擎上,買了至少以下三個關鍵詞“過狗菜刀”、“中國菜刀”和“XISE”進行推廣。
在不少論壇或黑客組織中,都有收集整理黑客工具并打包發布的傳統,這些都是腳本小子的最愛。針對這些帶后門的中國菜刀進行追蹤溯源,發現很多都是通過黑客工具包進行傳播的,我們整理了一份不完全的名單——這些帶有后門的中國菜刀被有意或者無意加入了這些工具集合中。
很多黑客的成長,要么是自己觀看他人的教程然后依樣畫葫蘆學習,要么是有老司機帶路甚至是手把手的教。在這個過程中,這群人總會在某個地方形成一個圈子,QQ群也好,論壇也罷,收費的也好,免費也罷。但這些圈子可能并不純粹,老司機有可能也是個半桶水,或者在教的過程中故意留一手——因為我們發現有不少教程中所附帶的工具包也是帶有后門的。以下是幾個例子:
透過傳播手段,我們可以看到“中國菜刀”在中國的流行程度。而中國菜刀的流行也同國內網站的安全性相關。讓我們先看看《2015年中國網站安全報告》【4】中的一段數據:
正因為有大量的網站存在漏洞,所以有大量的自動漏洞掃描及入侵工具。使用中國菜刀來對這些Webshell進行批量管理,小黑們可以非常愉快地執行惡意SEO、掛黑鏈、掛黑頁等活動。
通過對中國菜刀后門的逆向分析,從樣本中提取了幾個典型的后門箱子鏈接,由此獲取這些箱子是個挺簡單的事,統計發現數據還是很驚人的。數據如下表:
以“c.qsmyy.com”后門地址為例,一共下載回來639個后門箱子,里面共有67864條Webshell,對這些Webshell進行消重后仍有24111條結果,平均每個箱子中有38條Webshell,其中,箱子日期越新的Webshell,訪問成功的概率越高。
而“www.cnxiseweb.com”這個后門地址就更恐怖了,后門箱子的數據每天都會進行日清處理,所以我們只能下載到當天幾個小時的數據,而這幾個小時的數據就高達321條Webshell,消完重后仍有317條Webshell,所有這些也基本反映了國內Web網站的安全狀況
所有讀過360天眼實驗室以前文章的同學們都應該知道,技術的分析和數據的統計大多只是開胃菜,正餐往往在后頭,讓我們來追追菜刀后門的操盤手們。
www.maicaidao.co釣魚站溯源
http://www.maicaidao.co是仿造菜刀官網(www.maicaidao.com)的網站之一,其所提供的菜刀下載鏈接(http://www.maicaidao.co/FileRecv/20141018.zip)是帶有db.tmp后門的,為了提高逆向分析難度,還使用了VMProtect加殼軟件加殼保護。
從公開的whois信息顯示,[email protected],同時,該郵箱同時還有注冊“maicaidao.me”這個域名。安全圈的朋友們一看這個郵箱,應該并不陌生,沒錯這個郵箱的主人正是某sec組織的成員之一,接下來的我們就不多說了,有興趣的可以自己去挖挖。
www.maicaidao.cc釣魚站溯源
www.maicaidao.cc這個釣魚站因為域名過期已經打不開,但在過去的一年沒少傳播,通過whois查詢可以知道站長的郵箱為 [email protected]
通過QQ群關系社工庫,我們可以看到如下信息。
而在這個QQ號的空間相冊中,還能看到其炫耀的入侵網站截圖。
當然,其QQ空間還有個人生活、學習的照片。
這些照片顯示,其在廣州的傳智播客學習過。通過QQ號查找,發現其有使用微信,基本可以確認此QQ號為主賬號。
更多社工就此打住,貼個天眼的可視化關聯平臺里的關系圖來總結一下www.maicaidao.cc這個釣魚站。
guogoucaidao.com釣魚站溯源
http://www.guogoucaidao.com這個釣魚站的主打是“最新專版過狗菜刀,過目前最新版V3.4.09060安全狗!”,在該釣魚站的第二篇文章(http://www.guogoucaidao.com/?post=2)有所謂的過狗菜刀下載鏈接(http://www.guogoucaidao.com/content/uploadfile/201509/1cae1442556699.rar),但這個鏈接的中國菜刀是含有后門的,經分析后門地址為s.anylm.com。
whois信息,[email protected],1296444813這個QQ號在搜索引擎中有不少記錄,包括為暗影聯盟站長的身份,后門地址s.anylm.com也正好是暗影聯盟的拼音。
通過百度貼吧,可見其“出售刷鉆平臺ok”的ID,在該ID下有不少關注的貼吧,其中幾個都是獨立創建的,還曾做過卡盟供貨商,在搜索引擎中還能找到暗影卡盟的相關信息。
在某個社工庫里,我們找到了這個QQ號背后的郵箱[email protected]及密碼。順著這條線索,找到了更多身份信息。
在某商城發現了其購買“黑客攻防入門與進階(附贈DVD-ROM光盤1張)”的訂單記錄。
通過132****5891這個手機號能夠找到通過實名驗證的支付寶賬號。
好了,更多的東西就不再深入了,感興趣的同學們可以繼續深挖。用一張天眼的可視化關聯平臺里的關系圖來結束此次追溯之旅。
tophack.net釣魚站追蹤及溯源
在分析一個后門地址為43.249.11.189的 IP服務器的時候,匯總了以下三個帶后門的中國菜刀的下載地址:
其中tophack.net的whois信息顯示站長的QQ號為595845736,其信息如下:
比較高調的一個小黑客,在QQ空間中還有留有入侵網站的截圖。
通過搜索引擎,能找到好多關于這個QQ號的負面評價。
這些信息表明,該QQ號主人在2011年就已經從事黑產相關的違法交易,行事高調且聲譽不好。另外,QQ簽名顯示,目前正在做“鴻發棋牌”在線賭博平臺。
棋牌游戲的推廣,也是離不開SEO的,從某搜索引擎結果來看,“鴻發棋牌”的排名還是比較靠前的。
通過websiteinformer.com可以查到早在2012年7月就冒充菜刀官網。
通過WHOIS域名查詢得知該QQ郵箱對應的其他域名如下圖。
對域名注冊者進行反查結果如下圖域名。
通過域名來看,基本上都和黑產、黑客相關。
www.caidaomei.com釣魚站追蹤及溯源
www.caidaomei.com這個站的主打有“最新xise菜刀寄生蟲破解版vip版(過狗)”、“紅色版中國菜刀(20141213)正式發布 過狗紅色菜刀”、“最新提權免殺asp木馬,不死復活僵尸木馬”和“最新過狗菜刀下載”,但經分析,該站所有的Webshell管理工具都存在后門。比如“xise菜刀寄生蟲破解版”,就存在“jsc.dat”后門——因為“xise菜刀”的默認數據庫文件名為“jsc.mdb”,和中國菜刀的“db.tmp”后門異曲同工。
文件MD5: 5bb4f15f29c613eff7d8f86b7bcc94c1
不僅如此,該站菜刀后門的箱子數量也十分可觀,我們從后門地址共提取了194個后門箱子共計75166條Webshell,消重后仍有18613條Webshell,平均每個后門箱子中有96條Webshell。
在分析樣本時,發現一個特殊的樣本(fe2a29ac3cae173916be42db7f2f91ef),疑似做測試的。
通過Whois查詢,demo.heimaoboke.com的站長QQ為408888540。
通過搜索引擎,可以找到QQ408888540的在網易lofter上面的blog空間,在該空間中,存在大量的xise菜刀及黑帽SEO的介紹。
文章就是介紹Webshell箱子(菜刀后門)的,可以按需訂制,并提供相應的售后技術支持,就是不知道這個所謂的后門還會不會有個后門。
QQ號信息如下圖。
進入其QQ空間,可見黑帽SEO案例的操作結果截圖。
通過搜索引擎,能夠找到其在百度網盤的分享信息。
還有私密分享,但沒有提取密碼,不知道共享的是什么文件。
由于這個QQ號是個小號,未能有更多的社工信息,就此打住,用張天眼的可視化關聯平臺里的關系圖來結束此次溯源。
講了這么多中國菜刀及其相關的后門,總結下來,還是一個“利”字。有的人為讓自己的網站有更多的流量,不惜入侵他人網站使用非法手段來提升排名和流量。本篇文章從挖出線索、匯總、整理、再挖再匯再整,時間跨度了幾個月,中間也因為有其它優先級更高的事情及過農歷新年影響了進度,今天終于與大家見面了。再預告一下,天眼安全實驗室接下來將會放一篇更重磅的報告出來,敬請關注。另外,360天眼安全實驗室還在招人,要求扎實的二進制逆向分析基礎,有惡意代碼分析經驗最好,同時我們現在還需要后臺開發,要求熟悉大數據平臺,能夠利用現成框架快速搭建數據流程,[email protected]??驗室,數據會讓你有不同的眼界。
收集整理的樣本相關數據,可以作為IOC使用。
| 樣本MD5 |
|---|
| 0213fef968a77e5cd628aca6a269d9bd |
| 02ca1b36b652c582940e6ae6d94a6934 |
| 066f696d49ee8c67be0c3810af46faf1 |
| 0785ec81048ad5508956e97360ac322f |
| 0bbcae2af8499a1935f66e4f3cf0cb69 |
| 0cdcd9834be42a24feed91dc52b273c7 |
| 0de40d8e66b1c3bd12f1a68f9914b60b |
| 126bc9e60f0aaac0bf831dfee1be7326 |
| 16151ad243a6f3b9d2fae4a3d91e8007 |
| 19e3e3249dc3357ccfa6151049cd1854 |
| 1dac878c4a6bddd4194d627bb57d6d58 |
| 23940b1b3ff3509933a6fbd46e25c162 |
| 23d21fcef3ab3d690b2325979f44d150 |
| 2aef1877a28758ba3d78adc65d2ec3db |
| 33b858d1a17a34d7d9676ab80242ccc6 |
| 368539bfea931a616489df15e7c1d79c |
| 3923331de81cd5d4c5abe2f8448c25a9 |
| 3c40b58ac7eea158f2fa956545e4eee2 |
| 46a5e5c94cb5f5b39069cff4f9ba3843 |
| 5a6b933b5054efa25141e479be390a37 |
| 5ebc970c321b839aab5e2aac73039654 |
| 5f2623fecfa77dfca3f3336cee1732fe |
| 5f83eaae01aa1b138061b89aa5374478 |
| 63a2c5650b6babd2214e29a1d83e6f98 |
| 6c5290651f4b8b188037b2d357ea87cb |
| 8644b075c9de6749e5b3ce20c3348be3 |
| 87634adbbf10d6595845dc50ace9d672 |
| 88b9059aafa832f0d83b371a34a46506 |
| 892cacd515ce684fecf69983c87dbbf1 |
| 8fca2f54b4107df7b046c166ed42a3e6 |
| 91167748ef09c91cb0047ccd465e1370 |
| 918d90cd43bd8c121144e572b1542e21 |
| a1f26b69cee65dfe1cb91a7be2aea6a2 |
| a3e4b1f5661e51b3b5bdc4cae9de6921 |
| aa613662fe3c8cd108c6f7a104e75826 |
| b037871f8a69f5b094dcb6f3b3986bd0 |
| b439239568da85104308fa5b0588eb31 |
| b56b4507a1182356e607c433d9a3a5d9 |
| c00456ba818d78132aaf576f7068e291 |
| c72a397fcc273b272254bb1dea0fd045 |
| cd37fba00631a4a91dfb1239235abe0c |
| d7383f26d56e6a21a0334ac7eb4ccf8a |
| d7f7411951e4d4f678f27424c0c21ecd |
| e3fec98250cdd9cefa9c00b0d782775b |
| e447b5b56c0caaa51cc623d64dc275d9 |
| e81aa81815e94dff6de0cb1efe48383a |
| ee39bf504cb66cd22a5c2ce96c922f12 |
| f13c045a7a952e44877bf3f05f2faa8c |
| f2156701935f78c0ca6d610f518f4f37 |
| f54291227bec8fb1c7013efba8dc9906 |
| f90abd7f720a95d2999f29dbc8d45409 |
| fb5e9c43062a1528ea9cd801c4c6d0b3 |
| fe0720b465fcde0af7ca0b8dc103bc47 |
| fe2a29ac3cae173916be42db7f2f91ef |
| 后門收信地址 |
|---|
| http://122.10.82.29/cc.asp |
| http://1pl38.com/ |
| http://9128.cc/update1111/index.asp |
| http://aspmuma.net/ |
| http://baidu.myth321.com/baidu/index.asp |
| http://boos.my.to/caida |
| http://caidao.guoanquangouma.com/xy.asp |
| http://cd.myth321.com/index.asp |
| http://cpin.g.xyz./db.asp |
| http://dema.gjseo.net/db.asp |
| http://demo.888p.org/inex.asp |
| http://demo.asphxg.cn/xg.asp |
| http://demo.gjseo.net/db.asp |
| http://demo.gpzd8.com/xg.asp |
| http://demo.heimaoboke.com/96cn.asp |
| http://demo.heimaoboke.com/index.asp |
| http://demo.hmseo.org/db.asp |
| http://dns.haotianlong.com/index.asp |
| http://jsc.i06.com.cn/www.asp |
| http://pkpxs.com/index.asp |
| http://s.anylm.com/anying/index.asp |
| http://tophack.net/ |
| http://www.0744m2.com/index1.asp |
| http://www.668168.xyz/1index.asp |
| http://www.gnrgs.cn/webshell.asp |
| http://www.histtay.com/index.asp |
| http://www.huaidan98.com/cd/index.asp |
| http://www.jpwking.com/index.asp |
| http://www.weblinux.xyz/ |
| http://www.zgcaid.com/index.asp |