網路小黑揭秘系列之黑產江湖黑吃黑—中國菜刀的隱形把手

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2016/02/26 14:11

Author:360天眼安全實驗室

0x00 引子


人在做,天在看。

黑產乃法外之地,被叢林法則所支配。沒有了第三方強制力量的保障和監督,在那個圈子裡我們可以看到兩個極端:想做大生意的往往極重信譽,而那些只想撈一票就走的則會肆無忌憚地黑吃黑。

2015年12月中,360天眼實驗室釋出了“網路小黑揭秘系列之黑色SEO初探”,簡單揭露了下網路上的黑色SEO活動,同時也提到了很多駭客工具中帶有後門,其中就包括了某些使用面非常廣的工具。沒錯,這回我們的主角是小黑們最喜聞樂見的中國菜刀。

0x01 中國菜刀


菜刀,廚房切菜之利器,亦可用於砍人。中國菜刀(China Chopper)亦是如此,它是一款支援多種語言的非常優秀的WebShell管理程式,可用於正常的網站管理,亦可以用於非法控制管理他人網站,總之是站長居家旅行助手、駭客殺人越貨利器。據說作者是一退伍軍人,國內有人寫了簡評並借鬼仔’s Blog釋出,國外亦有FireEye寫了詳細的剖析報告。

透過360雲安全的大資料檢視菜刀官網(http://www.maicaidao.com)的站點資料,官網在2014年的12月份釋出caidao-20141213(http://www.maicaidao.com/caidao-20141213.zip)版本之後沒幾天,就停止下載並且關閉了網站(域名IP曾一度指向了GOOGLE.COM),關站的誘因可能是因為Freebuf上發了一篇名為“強大的網站管理軟體 – 中國菜刀20141213新版釋出”的介紹文章配。雖然中國菜刀的官網早已關閉,但好東西自有它的生命力,從某種意義上說中國菜刀已經是一個品牌甚至用現在最火的概念來說已經成為一個IP,官方的支援不再重要,自有人來維護傳播它,當然,也包括了裡面夾帶的私貨——也就是後門。

0x02 樣本分析


其實,之前已經有很多人寫過中國菜刀的後門,本文無意再作重複,以下主要對採用“db.tmp”模式的後門做下簡要的分析。

透過對收集到的大量樣本進行分析,發現這些帶有後門的中國菜刀都基本上透過修改原版的某些特徵來繞過“安全狗”等Web安全防護軟體,同時修改PE的匯入表引入一個動態連結的後門模組。為了透過迷惑使用者而不被發現,將後門的名字偽裝成資料庫的臨時檔案,也就是“db.tmp”,因為“中國菜刀”的預設資料庫檔名為“db.mdb”。

p1

caidao.exe檔案MD5: baad97c73aee0207e608c46d0941d28b

p2

對“db.tmp”進行彙總分析,發現PE檔案時間戳是偽造的,也就無法透過這個屬性進行分類。根據檔案大小大致能分成兩個版本:一個32K大小的早期版本,另外一個36K大小的改進版本。兩個版本的實際功能都差不多,使用VB6編寫,透過對這些檔案進行二進位制比較確認相同版本的檔案大小相同而後門地址不一樣,應該是有使用模版生成器來進行生成。

p3

p4

對“db.tmp”進行反彙編分析,發現帶後門的菜刀會針對抓包軟體進行行為隱藏,當發現系統中有以下程式的時候不執行後門行為動作,使其逃過可能的監視。

|WSockExpert_cn.exe|WSockExpert.exe|CHKenCap.exe|SmartSniff.exe|hookME.exe|NetworkTrafficView.exe|smsniff.exe|tcpmon.exe|HttpAnalyzerStdV6.exe|Csnas.exe|Wireshark.exe|

p5

p6

透過迴圈讀取mdb資料庫中的SiteUrl的值並進行判斷,排除“http://www.maicaidao.com/”(目的是為了排除中國菜刀預設生成的示例資訊)後繼續讀取SitePass、nCodePage、Config欄位值,最後和程式中所配置的後門地址“http://cd.myth321.com/index.asp||||||||”進行拼接,傳送資料完成Webshell資訊的上傳。

p7

0x03 傳播手段


樣本本身從技術上其實沒多少可說的,保證效果真正的手段是其傳播方法,這個決定了後門操盤手能最終收割多少。以下是我們確認的一些傳播渠道:

1、SEO最佳化

在手上有大量的Webshell之後,後門菜刀的幕後操刀手可以很方便的利用這些Webshell將自己的網站SEO到一個比較理想的位置。在某搜尋引擎的第一頁結果中,我們可以看到除了推廣連結排名在第一位,第二位和第三位都是SEO上去的假官網。

p8

我們將仿冒的官網域名列舉如下,基於360的大資料統計了2015年12月07日至16日共計十天的PVUV訪問量,從資料來看SEO還是有些效果的。

p9

2、購買搜尋引擎關鍵詞

大家是否還記得2012年年初,曾有人在某搜尋引擎中購買putty、winscp、SSHSecure等ssh工具的關鍵詞,使很多人透過該引擎搜尋時點選了推廣連結,跳轉到所謂的中文網站並下載執行了包含後門的中文版工具,該後門會將使用者連線過的伺服器IP地址、埠號、使用者名稱及密碼上傳至“l.ip-163.com”這個網站,事情曝光後有白帽子在第一時間透過技術手段發現該伺服器已經使數千人中招,甚至包括某些國際大廠的員工。“中國菜刀”這麼受歡迎的工具,如果SEO效果不好,購買搜尋引擎關鍵詞進行推廣是一個比較理想的高效推廣手段。經過簡單的測試,發現這些帶有後門的“中國菜刀”在某搜尋引擎上,買了至少以下三個關鍵詞“過狗菜刀”、“中國菜刀”和“XISE”進行推廣。

p10

p11

p12

p13

3、透過一些駭客論壇進行釋出

在不少論壇或駭客組織中,都有收集整理駭客工具並打包釋出的傳統,這些都是指令碼小子的最愛。針對這些帶後門的中國菜刀進行追蹤溯源,發現很多都是透過駭客工具包進行傳播的,我們整理了一份不完全的名單——這些帶有後門的中國菜刀被有意或者無意加入了這些工具集合中。

p14

4、透過QQ群、論壇等特定的圈子進行傳播

很多駭客的成長,要麼是自己觀看他人的教程然後依樣畫葫蘆學習,要麼是有老司機帶路甚至是手把手的教。在這個過程中,這群人總會在某個地方形成一個圈子,QQ群也好,論壇也罷,收費的也好,免費也罷。但這些圈子可能並不純粹,老司機有可能也是個半桶水,或者在教的過程中故意留一手——因為我們發現有不少教程中所附帶的工具包也是帶有後門的。以下是幾個例子:

p15

0x04 中國菜刀的背後


網站安全概況

透過傳播手段,我們可以看到“中國菜刀”在中國的流行程度。而中國菜刀的流行也同國內網站的安全性相關。讓我們先看看《2015年中國網站安全報告》中的一段資料:

p16

正因為有大量的網站存在漏洞,所以有大量的自動漏洞掃描及入侵工具。使用中國菜刀來對這些Webshell進行批次管理,小黑們可以非常愉快地執行惡意SEO、掛黑鏈、掛黑頁等活動。

  • 惡意SEO 惡意SEO後門是指標對網站伺服器載入惡意SEO程式碼,從而借正規網址域名實施搜尋引擎最佳化或誘導欺詐。
  • 掛黑鏈 掛黑鏈是指透過篡改原網站相關頁面資料,植入可見或不可以頁面程式碼元素,從而達到惡意SEO(即黑帽SEO)的目的。
  • 掛黑頁 掛黑頁是指透過篡改原網站的頁面或增加頁面,在這個頁面實現釣魚的行為。如下圖就是透過在正規網站中,植入偽裝成“網遊交易門戶”的欺詐頁面。

p17

透過對中國菜刀後門的逆向分析,從樣本中提取了幾個典型的後門箱子連結,由此獲取這些箱子是個挺簡單的事,統計發現資料還是很驚人的。資料如下表:

p18

以“c.qsmyy.com”後門地址為例,一共下載回來639個後門箱子,裡面共有67864條Webshell,對這些Webshell進行消重後仍有24111條結果,平均每個箱子中有38條Webshell,其中,箱子日期越新的Webshell,訪問成功的機率越高。

而“www.cnxiseweb.com”這個後門地址就更恐怖了,後門箱子的資料每天都會進行日清處理,所以我們只能下載到當天幾個小時的資料,而這幾個小時的資料就高達321條Webshell,消完重後仍有317條Webshell,所有這些也基本反映了國內Web網站的安全狀況

假冒網站溯源

所有讀過360天眼實驗室以前文章的同學們都應該知道,技術的分析和資料的統計大多隻是開胃菜,正餐往往在後頭,讓我們來追追菜刀後門的操盤手們。

www.maicaidao.co釣魚站溯源

http://www.maicaidao.co是仿造菜刀官網(www.maicaidao.com)的網站之一,其所提供的菜刀下載連結(http://www.maicaidao.co/FileRecv/20141018.zip)是帶有db.tmp後門的,為了提高逆向分析難度,還使用了VMProtect加殼軟體加殼保護。

p19

p20

從公開的whois資訊顯示,[email protected],同時,該郵箱同時還有註冊“maicaidao.me”這個域名。安全圈的朋友們一看這個郵箱,應該並不陌生,沒錯這個郵箱的主人正是某sec組織的成員之一,接下來的我們就不多說了,有興趣的可以自己去挖挖。

p21

www.maicaidao.cc釣魚站溯源

www.maicaidao.cc這個釣魚站因為域名過期已經打不開,但在過去的一年沒少傳播,透過whois查詢可以知道站長的郵箱為 [email protected]

p22

透過QQ群關係社工庫,我們可以看到如下資訊。

p23

而在這個QQ號的空間相簿中,還能看到其炫耀的入侵網站截圖。

p24

p25

p26

當然,其QQ空間還有個人生活、學習的照片。

p27

p28

p29

p30

p31

這些照片顯示,其在廣州的傳智播客學習過。透過QQ號查詢,發現其有使用微信,基本可以確認此QQ號為主賬號。

p32

更多社工就此打住,貼個天眼的視覺化關聯平臺裡的關係圖來總結一下www.maicaidao.cc這個釣魚站。

p33

guogoucaidao.com釣魚站溯源

http://www.guogoucaidao.com這個釣魚站的主打是“最新專版過狗菜刀,過目前最新版V3.4.09060安全狗!”,在該釣魚站的第二篇文章(http://www.guogoucaidao.com/?post=2)有所謂的過狗菜刀下載連結(http://www.guogoucaidao.com/content/uploadfile/201509/1cae1442556699.rar),但這個連結的中國菜刀是含有後門的,經分析後門地址為s.anylm.com。

p34

whois資訊,[email protected],1296444813這個QQ號在搜尋引擎中有不少記錄,包括為暗影聯盟站長的身份,後門地址s.anylm.com也正好是暗影聯盟的拼音。

p35

透過百度貼吧,可見其“出售刷鑽平臺ok”的ID,在該ID下有不少關注的貼吧,其中幾個都是獨立建立的,還曾做過卡盟供貨商,在搜尋引擎中還能找到暗影卡盟的相關資訊。

p36

p37

在某個社工庫裡,我們找到了這個QQ號背後的郵箱[email protected]及密碼。順著這條線索,找到了更多身份資訊。

p38

在某商城發現了其購買“駭客攻防入門與進階(附贈DVD-ROM光碟1張)”的訂單記錄。

p39

p40

透過132****5891這個手機號能夠找到透過實名驗證的支付寶賬號。

p41

好了,更多的東西就不再深入了,感興趣的同學們可以繼續深挖。用一張天眼的視覺化關聯平臺裡的關係圖來結束此次追溯之旅。

p42

tophack.net釣魚站追蹤及溯源

在分析一個後門地址為43.249.11.189的 IP伺服器的時候,彙總了以下三個帶後門的中國菜刀的下載地址:

其中tophack.net的whois資訊顯示站長的QQ號為595845736,其資訊如下:

p43

比較高調的一個小駭客,在QQ空間中還有留有入侵網站的截圖。

p44

p45

透過搜尋引擎,能找到好多關於這個QQ號的負面評價。

p46

p47

這些資訊表明,該QQ號主人在2011年就已經從事黑產相關的違法交易,行事高調且聲譽不好。另外,QQ簽名顯示,目前正在做“鴻發棋牌”線上賭博平臺。

p48

棋牌遊戲的推廣,也是離不開SEO的,從某搜尋引擎結果來看,“鴻發棋牌”的排名還是比較靠前的。

p49

透過websiteinformer.com可以查到早在2012年7月就冒充菜刀官網。

p50

透過WHOIS域名查詢得知該QQ郵箱對應的其他域名如下圖。

p51

對域名註冊者進行反查結果如下圖域名。

p52

透過域名來看,基本上都和黑產、駭客相關。

p53

www.caidaomei.com釣魚站追蹤及溯源

www.caidaomei.com這個站的主打有“最新xise菜刀寄生蟲破解版vip版(過狗)”、“紅色版中國菜刀(20141213)正式釋出 過狗紅色菜刀”、“最新提權免殺asp木馬,不死復活殭屍木馬”和“最新過狗菜刀下載”,但經分析,該站所有的Webshell管理工具都存在後門。比如“xise菜刀寄生蟲破解版”,就存在“jsc.dat”後門——因為“xise菜刀”的預設資料庫檔名為“jsc.mdb”,和中國菜刀的“db.tmp”後門異曲同工。

p54

檔案MD5: 5bb4f15f29c613eff7d8f86b7bcc94c1

不僅如此,該站菜刀後門的箱子數量也十分可觀,我們從後門地址共提取了194個後門箱子共計75166條Webshell,消重後仍有18613條Webshell,平均每個後門箱子中有96條Webshell。

p55

在分析樣本時,發現一個特殊的樣本(fe2a29ac3cae173916be42db7f2f91ef),疑似做測試的。

p56

透過Whois查詢,demo.heimaoboke.com的站長QQ為408888540。

p57

透過搜尋引擎,可以找到QQ408888540的在網易lofter上面的blog空間,在該空間中,存在大量的xise菜刀及黑帽SEO的介紹。

p58

文章就是介紹Webshell箱子(菜刀後門)的,可以按需訂製,並提供相應的售後技術支援,就是不知道這個所謂的後門還會不會有個後門。

p59

QQ號資訊如下圖。

p60

進入其QQ空間,可見黑帽SEO案例的操作結果截圖。

p61

p62

p63

透過搜尋引擎,能夠找到其在百度網盤的分享資訊。

p64

還有私密分享,但沒有提取密碼,不知道共享的是什麼檔案。

p65

由於這個QQ號是個小號,未能有更多的社工資訊,就此打住,用張天眼的視覺化關聯平臺裡的關係圖來結束此次溯源。

p66

0x05 寫在最後


講了這麼多中國菜刀及其相關的後門,總結下來,還是一個“利”字。有的人為讓自己的網站有更多的流量,不惜入侵他人網站使用非法手段來提升排名和流量。本篇文章從挖出線索、彙總、整理、再挖再匯再整,時間跨度了幾個月,中間也因為有其它優先順序更高的事情及過農曆新年影響了進度,今天終於與大家見面了。再預告一下,天眼安全實驗室接下來將會放一篇更重磅的報告出來,敬請關注。另外,360天眼安全實驗室還在招人,要求紮實的二進位制逆向分析基礎,有惡意程式碼分析經驗最好,同時我們現在還需要後臺開發,要求熟悉大資料平臺,能夠利用現成框架快速搭建資料流程,[email protected]驗室,資料會讓你有不同的眼界。

0x06 附錄


收集整理的樣本相關資料,可以作為IOC使用。

樣本MD5
0213fef968a77e5cd628aca6a269d9bd
02ca1b36b652c582940e6ae6d94a6934
066f696d49ee8c67be0c3810af46faf1
0785ec81048ad5508956e97360ac322f
0bbcae2af8499a1935f66e4f3cf0cb69
0cdcd9834be42a24feed91dc52b273c7
0de40d8e66b1c3bd12f1a68f9914b60b
126bc9e60f0aaac0bf831dfee1be7326
16151ad243a6f3b9d2fae4a3d91e8007
19e3e3249dc3357ccfa6151049cd1854
1dac878c4a6bddd4194d627bb57d6d58
23940b1b3ff3509933a6fbd46e25c162
23d21fcef3ab3d690b2325979f44d150
2aef1877a28758ba3d78adc65d2ec3db
33b858d1a17a34d7d9676ab80242ccc6
368539bfea931a616489df15e7c1d79c
3923331de81cd5d4c5abe2f8448c25a9
3c40b58ac7eea158f2fa956545e4eee2
46a5e5c94cb5f5b39069cff4f9ba3843
5a6b933b5054efa25141e479be390a37
5ebc970c321b839aab5e2aac73039654
5f2623fecfa77dfca3f3336cee1732fe
5f83eaae01aa1b138061b89aa5374478
63a2c5650b6babd2214e29a1d83e6f98
6c5290651f4b8b188037b2d357ea87cb
8644b075c9de6749e5b3ce20c3348be3
87634adbbf10d6595845dc50ace9d672
88b9059aafa832f0d83b371a34a46506
892cacd515ce684fecf69983c87dbbf1
8fca2f54b4107df7b046c166ed42a3e6
91167748ef09c91cb0047ccd465e1370
918d90cd43bd8c121144e572b1542e21
a1f26b69cee65dfe1cb91a7be2aea6a2
a3e4b1f5661e51b3b5bdc4cae9de6921
aa613662fe3c8cd108c6f7a104e75826
b037871f8a69f5b094dcb6f3b3986bd0
b439239568da85104308fa5b0588eb31
b56b4507a1182356e607c433d9a3a5d9
c00456ba818d78132aaf576f7068e291
c72a397fcc273b272254bb1dea0fd045
cd37fba00631a4a91dfb1239235abe0c
d7383f26d56e6a21a0334ac7eb4ccf8a
d7f7411951e4d4f678f27424c0c21ecd
e3fec98250cdd9cefa9c00b0d782775b
e447b5b56c0caaa51cc623d64dc275d9
e81aa81815e94dff6de0cb1efe48383a
ee39bf504cb66cd22a5c2ce96c922f12
f13c045a7a952e44877bf3f05f2faa8c
f2156701935f78c0ca6d610f518f4f37
f54291227bec8fb1c7013efba8dc9906
f90abd7f720a95d2999f29dbc8d45409
fb5e9c43062a1528ea9cd801c4c6d0b3
fe0720b465fcde0af7ca0b8dc103bc47
fe2a29ac3cae173916be42db7f2f91ef
後門收信地址
http://122.10.82.29/cc.asp
http://1pl38.com/
http://9128.cc/update1111/index.asp
http://aspmuma.net/
http://baidu.myth321.com/baidu/index.asp
http://boos.my.to/caida
http://caidao.guoanquangouma.com/xy.asp
http://cd.myth321.com/index.asp
http://cpin.g.xyz./db.asp
http://dema.gjseo.net/db.asp
http://demo.888p.org/inex.asp
http://demo.asphxg.cn/xg.asp
http://demo.gjseo.net/db.asp
http://demo.gpzd8.com/xg.asp
http://demo.heimaoboke.com/96cn.asp
http://demo.heimaoboke.com/index.asp
http://demo.hmseo.org/db.asp
http://dns.haotianlong.com/index.asp
http://jsc.i06.com.cn/www.asp
http://pkpxs.com/index.asp
http://s.anylm.com/anying/index.asp
http://tophack.net/
http://www.0744m2.com/index1.asp
http://www.668168.xyz/1index.asp
http://www.gnrgs.cn/webshell.asp
http://www.histtay.com/index.asp
http://www.huaidan98.com/cd/index.asp
http://www.jpwking.com/index.asp
http://www.weblinux.xyz/
http://www.zgcaid.com/index.asp

0x07 相關閱讀


本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章