網路小黑揭秘系列之黑產江湖黑吃黑—中國菜刀的隱形把手
Author:360天眼安全實驗室
0x00 引子
人在做,天在看。
黑產乃法外之地,被叢林法則所支配。沒有了第三方強制力量的保障和監督,在那個圈子裡我們可以看到兩個極端:想做大生意的往往極重信譽,而那些只想撈一票就走的則會肆無忌憚地黑吃黑。
2015年12月中,360天眼實驗室釋出了“網路小黑揭秘系列之黑色SEO初探”,簡單揭露了下網路上的黑色SEO活動,同時也提到了很多駭客工具中帶有後門,其中就包括了某些使用面非常廣的工具。沒錯,這回我們的主角是小黑們最喜聞樂見的中國菜刀。
0x01 中國菜刀
菜刀,廚房切菜之利器,亦可用於砍人。中國菜刀(China Chopper)亦是如此,它是一款支援多種語言的非常優秀的WebShell管理程式,可用於正常的網站管理,亦可以用於非法控制管理他人網站,總之是站長居家旅行助手、駭客殺人越貨利器。據說作者是一退伍軍人,國內有人寫了簡評並借鬼仔’s Blog釋出,國外亦有FireEye寫了詳細的剖析報告。
透過360雲安全的大資料檢視菜刀官網(http://www.maicaidao.com)的站點資料,官網在2014年的12月份釋出caidao-20141213(http://www.maicaidao.com/caidao-20141213.zip)版本之後沒幾天,就停止下載並且關閉了網站(域名IP曾一度指向了GOOGLE.COM),關站的誘因可能是因為Freebuf上發了一篇名為“強大的網站管理軟體 – 中國菜刀20141213新版釋出”的介紹文章配。雖然中國菜刀的官網早已關閉,但好東西自有它的生命力,從某種意義上說中國菜刀已經是一個品牌甚至用現在最火的概念來說已經成為一個IP,官方的支援不再重要,自有人來維護傳播它,當然,也包括了裡面夾帶的私貨——也就是後門。
0x02 樣本分析
其實,之前已經有很多人寫過中國菜刀的後門,本文無意再作重複,以下主要對採用“db.tmp”模式的後門做下簡要的分析。
透過對收集到的大量樣本進行分析,發現這些帶有後門的中國菜刀都基本上透過修改原版的某些特徵來繞過“安全狗”等Web安全防護軟體,同時修改PE的匯入表引入一個動態連結的後門模組。為了透過迷惑使用者而不被發現,將後門的名字偽裝成資料庫的臨時檔案,也就是“db.tmp”,因為“中國菜刀”的預設資料庫檔名為“db.mdb”。
caidao.exe檔案MD5: baad97c73aee0207e608c46d0941d28b
對“db.tmp”進行彙總分析,發現PE檔案時間戳是偽造的,也就無法透過這個屬性進行分類。根據檔案大小大致能分成兩個版本:一個32K大小的早期版本,另外一個36K大小的改進版本。兩個版本的實際功能都差不多,使用VB6編寫,透過對這些檔案進行二進位制比較確認相同版本的檔案大小相同而後門地址不一樣,應該是有使用模版生成器來進行生成。
對“db.tmp”進行反彙編分析,發現帶後門的菜刀會針對抓包軟體進行行為隱藏,當發現系統中有以下程式的時候不執行後門行為動作,使其逃過可能的監視。
|WSockExpert_cn.exe|WSockExpert.exe|CHKenCap.exe|SmartSniff.exe|hookME.exe|NetworkTrafficView.exe|smsniff.exe|tcpmon.exe|HttpAnalyzerStdV6.exe|Csnas.exe|Wireshark.exe|
透過迴圈讀取mdb資料庫中的SiteUrl的值並進行判斷,排除“http://www.maicaidao.com/
”(目的是為了排除中國菜刀預設生成的示例資訊)後繼續讀取SitePass、nCodePage、Config欄位值,最後和程式中所配置的後門地址“http://cd.myth321.com/index.asp||||||||
”進行拼接,傳送資料完成Webshell資訊的上傳。
0x03 傳播手段
樣本本身從技術上其實沒多少可說的,保證效果真正的手段是其傳播方法,這個決定了後門操盤手能最終收割多少。以下是我們確認的一些傳播渠道:
1、SEO最佳化
在手上有大量的Webshell之後,後門菜刀的幕後操刀手可以很方便的利用這些Webshell將自己的網站SEO到一個比較理想的位置。在某搜尋引擎的第一頁結果中,我們可以看到除了推廣連結排名在第一位,第二位和第三位都是SEO上去的假官網。
我們將仿冒的官網域名列舉如下,基於360的大資料統計了2015年12月07日至16日共計十天的PVUV訪問量,從資料來看SEO還是有些效果的。
2、購買搜尋引擎關鍵詞
大家是否還記得2012年年初,曾有人在某搜尋引擎中購買putty、winscp、SSHSecure等ssh工具的關鍵詞,使很多人透過該引擎搜尋時點選了推廣連結,跳轉到所謂的中文網站並下載執行了包含後門的中文版工具,該後門會將使用者連線過的伺服器IP地址、埠號、使用者名稱及密碼上傳至“l.ip-163.com”這個網站,事情曝光後有白帽子在第一時間透過技術手段發現該伺服器已經使數千人中招,甚至包括某些國際大廠的員工。“中國菜刀”這麼受歡迎的工具,如果SEO效果不好,購買搜尋引擎關鍵詞進行推廣是一個比較理想的高效推廣手段。經過簡單的測試,發現這些帶有後門的“中國菜刀”在某搜尋引擎上,買了至少以下三個關鍵詞“過狗菜刀”、“中國菜刀”和“XISE”進行推廣。
3、透過一些駭客論壇進行釋出
在不少論壇或駭客組織中,都有收集整理駭客工具並打包釋出的傳統,這些都是指令碼小子的最愛。針對這些帶後門的中國菜刀進行追蹤溯源,發現很多都是透過駭客工具包進行傳播的,我們整理了一份不完全的名單——這些帶有後門的中國菜刀被有意或者無意加入了這些工具集合中。
4、透過QQ群、論壇等特定的圈子進行傳播
很多駭客的成長,要麼是自己觀看他人的教程然後依樣畫葫蘆學習,要麼是有老司機帶路甚至是手把手的教。在這個過程中,這群人總會在某個地方形成一個圈子,QQ群也好,論壇也罷,收費的也好,免費也罷。但這些圈子可能並不純粹,老司機有可能也是個半桶水,或者在教的過程中故意留一手——因為我們發現有不少教程中所附帶的工具包也是帶有後門的。以下是幾個例子:
0x04 中國菜刀的背後
網站安全概況
透過傳播手段,我們可以看到“中國菜刀”在中國的流行程度。而中國菜刀的流行也同國內網站的安全性相關。讓我們先看看《2015年中國網站安全報告》中的一段資料:
正因為有大量的網站存在漏洞,所以有大量的自動漏洞掃描及入侵工具。使用中國菜刀來對這些Webshell進行批次管理,小黑們可以非常愉快地執行惡意SEO、掛黑鏈、掛黑頁等活動。
- 惡意SEO 惡意SEO後門是指標對網站伺服器載入惡意SEO程式碼,從而借正規網址域名實施搜尋引擎最佳化或誘導欺詐。
- 掛黑鏈 掛黑鏈是指透過篡改原網站相關頁面資料,植入可見或不可以頁面程式碼元素,從而達到惡意SEO(即黑帽SEO)的目的。
- 掛黑頁 掛黑頁是指透過篡改原網站的頁面或增加頁面,在這個頁面實現釣魚的行為。如下圖就是透過在正規網站中,植入偽裝成“網遊交易門戶”的欺詐頁面。
透過對中國菜刀後門的逆向分析,從樣本中提取了幾個典型的後門箱子連結,由此獲取這些箱子是個挺簡單的事,統計發現資料還是很驚人的。資料如下表:
以“c.qsmyy.com”後門地址為例,一共下載回來639個後門箱子,裡面共有67864條Webshell,對這些Webshell進行消重後仍有24111條結果,平均每個箱子中有38條Webshell,其中,箱子日期越新的Webshell,訪問成功的機率越高。
而“www.cnxiseweb.com”這個後門地址就更恐怖了,後門箱子的資料每天都會進行日清處理,所以我們只能下載到當天幾個小時的資料,而這幾個小時的資料就高達321條Webshell,消完重後仍有317條Webshell,所有這些也基本反映了國內Web網站的安全狀況
假冒網站溯源
所有讀過360天眼實驗室以前文章的同學們都應該知道,技術的分析和資料的統計大多隻是開胃菜,正餐往往在後頭,讓我們來追追菜刀後門的操盤手們。
www.maicaidao.co釣魚站溯源
http://www.maicaidao.co
是仿造菜刀官網(www.maicaidao.com)的網站之一,其所提供的菜刀下載連結(http://www.maicaidao.co/FileRecv/20141018.zip
)是帶有db.tmp後門的,為了提高逆向分析難度,還使用了VMProtect加殼軟體加殼保護。
從公開的whois資訊顯示,[email protected],同時,該郵箱同時還有註冊“maicaidao.me”這個域名。安全圈的朋友們一看這個郵箱,應該並不陌生,沒錯這個郵箱的主人正是某sec組織的成員之一,接下來的我們就不多說了,有興趣的可以自己去挖挖。
www.maicaidao.cc釣魚站溯源
www.maicaidao.cc
這個釣魚站因為域名過期已經打不開,但在過去的一年沒少傳播,透過whois查詢可以知道站長的郵箱為 [email protected]
透過QQ群關係社工庫,我們可以看到如下資訊。
而在這個QQ號的空間相簿中,還能看到其炫耀的入侵網站截圖。
當然,其QQ空間還有個人生活、學習的照片。
這些照片顯示,其在廣州的傳智播客學習過。透過QQ號查詢,發現其有使用微信,基本可以確認此QQ號為主賬號。
更多社工就此打住,貼個天眼的視覺化關聯平臺裡的關係圖來總結一下www.maicaidao.cc這個釣魚站。
guogoucaidao.com釣魚站溯源
http://www.guogoucaidao.com
這個釣魚站的主打是“最新專版過狗菜刀,過目前最新版V3.4.09060安全狗!”,在該釣魚站的第二篇文章(http://www.guogoucaidao.com/?post=2)有所謂的過狗菜刀下載連結(http://www.guogoucaidao.com/content/uploadfile/201509/1cae1442556699.rar),但這個連結的中國菜刀是含有後門的,經分析後門地址為s.anylm.com。
whois資訊,[email protected],1296444813這個QQ號在搜尋引擎中有不少記錄,包括為暗影聯盟站長的身份,後門地址s.anylm.com也正好是暗影聯盟的拼音。
透過百度貼吧,可見其“出售刷鑽平臺ok”的ID,在該ID下有不少關注的貼吧,其中幾個都是獨立建立的,還曾做過卡盟供貨商,在搜尋引擎中還能找到暗影卡盟的相關資訊。
在某個社工庫裡,我們找到了這個QQ號背後的郵箱[email protected]
及密碼。順著這條線索,找到了更多身份資訊。
在某商城發現了其購買“駭客攻防入門與進階(附贈DVD-ROM光碟1張)”的訂單記錄。
透過132****5891
這個手機號能夠找到透過實名驗證的支付寶賬號。
好了,更多的東西就不再深入了,感興趣的同學們可以繼續深挖。用一張天眼的視覺化關聯平臺裡的關係圖來結束此次追溯之旅。
tophack.net釣魚站追蹤及溯源
在分析一個後門地址為43.249.11.189的 IP伺服器的時候,彙總了以下三個帶後門的中國菜刀的下載地址:
其中tophack.net的whois資訊顯示站長的QQ號為595845736,其資訊如下:
比較高調的一個小駭客,在QQ空間中還有留有入侵網站的截圖。
透過搜尋引擎,能找到好多關於這個QQ號的負面評價。
這些資訊表明,該QQ號主人在2011年就已經從事黑產相關的違法交易,行事高調且聲譽不好。另外,QQ簽名顯示,目前正在做“鴻發棋牌”線上賭博平臺。
棋牌遊戲的推廣,也是離不開SEO的,從某搜尋引擎結果來看,“鴻發棋牌”的排名還是比較靠前的。
透過websiteinformer.com可以查到早在2012年7月就冒充菜刀官網。
透過WHOIS域名查詢得知該QQ郵箱對應的其他域名如下圖。
對域名註冊者進行反查結果如下圖域名。
透過域名來看,基本上都和黑產、駭客相關。
www.caidaomei.com釣魚站追蹤及溯源
www.caidaomei.com這個站的主打有“最新xise菜刀寄生蟲破解版vip版(過狗)”、“紅色版中國菜刀(20141213)正式釋出 過狗紅色菜刀”、“最新提權免殺asp木馬,不死復活殭屍木馬”和“最新過狗菜刀下載”,但經分析,該站所有的Webshell管理工具都存在後門。比如“xise菜刀寄生蟲破解版”,就存在“jsc.dat”後門——因為“xise菜刀”的預設資料庫檔名為“jsc.mdb”,和中國菜刀的“db.tmp”後門異曲同工。
檔案MD5: 5bb4f15f29c613eff7d8f86b7bcc94c1
不僅如此,該站菜刀後門的箱子數量也十分可觀,我們從後門地址共提取了194個後門箱子共計75166條Webshell,消重後仍有18613條Webshell,平均每個後門箱子中有96條Webshell。
在分析樣本時,發現一個特殊的樣本(fe2a29ac3cae173916be42db7f2f91ef),疑似做測試的。
透過Whois查詢,demo.heimaoboke.com的站長QQ為408888540。
透過搜尋引擎,可以找到QQ408888540的在網易lofter上面的blog空間,在該空間中,存在大量的xise菜刀及黑帽SEO的介紹。
文章就是介紹Webshell箱子(菜刀後門)的,可以按需訂製,並提供相應的售後技術支援,就是不知道這個所謂的後門還會不會有個後門。
QQ號資訊如下圖。
進入其QQ空間,可見黑帽SEO案例的操作結果截圖。
透過搜尋引擎,能夠找到其在百度網盤的分享資訊。
還有私密分享,但沒有提取密碼,不知道共享的是什麼檔案。
由於這個QQ號是個小號,未能有更多的社工資訊,就此打住,用張天眼的視覺化關聯平臺裡的關係圖來結束此次溯源。
0x05 寫在最後
講了這麼多中國菜刀及其相關的後門,總結下來,還是一個“利”字。有的人為讓自己的網站有更多的流量,不惜入侵他人網站使用非法手段來提升排名和流量。本篇文章從挖出線索、彙總、整理、再挖再匯再整,時間跨度了幾個月,中間也因為有其它優先順序更高的事情及過農曆新年影響了進度,今天終於與大家見面了。再預告一下,天眼安全實驗室接下來將會放一篇更重磅的報告出來,敬請關注。另外,360天眼安全實驗室還在招人,要求紮實的二進位制逆向分析基礎,有惡意程式碼分析經驗最好,同時我們現在還需要後臺開發,要求熟悉大資料平臺,能夠利用現成框架快速搭建資料流程,[email protected]驗室,資料會讓你有不同的眼界。
0x06 附錄
收集整理的樣本相關資料,可以作為IOC使用。
樣本MD5 |
---|
0213fef968a77e5cd628aca6a269d9bd |
02ca1b36b652c582940e6ae6d94a6934 |
066f696d49ee8c67be0c3810af46faf1 |
0785ec81048ad5508956e97360ac322f |
0bbcae2af8499a1935f66e4f3cf0cb69 |
0cdcd9834be42a24feed91dc52b273c7 |
0de40d8e66b1c3bd12f1a68f9914b60b |
126bc9e60f0aaac0bf831dfee1be7326 |
16151ad243a6f3b9d2fae4a3d91e8007 |
19e3e3249dc3357ccfa6151049cd1854 |
1dac878c4a6bddd4194d627bb57d6d58 |
23940b1b3ff3509933a6fbd46e25c162 |
23d21fcef3ab3d690b2325979f44d150 |
2aef1877a28758ba3d78adc65d2ec3db |
33b858d1a17a34d7d9676ab80242ccc6 |
368539bfea931a616489df15e7c1d79c |
3923331de81cd5d4c5abe2f8448c25a9 |
3c40b58ac7eea158f2fa956545e4eee2 |
46a5e5c94cb5f5b39069cff4f9ba3843 |
5a6b933b5054efa25141e479be390a37 |
5ebc970c321b839aab5e2aac73039654 |
5f2623fecfa77dfca3f3336cee1732fe |
5f83eaae01aa1b138061b89aa5374478 |
63a2c5650b6babd2214e29a1d83e6f98 |
6c5290651f4b8b188037b2d357ea87cb |
8644b075c9de6749e5b3ce20c3348be3 |
87634adbbf10d6595845dc50ace9d672 |
88b9059aafa832f0d83b371a34a46506 |
892cacd515ce684fecf69983c87dbbf1 |
8fca2f54b4107df7b046c166ed42a3e6 |
91167748ef09c91cb0047ccd465e1370 |
918d90cd43bd8c121144e572b1542e21 |
a1f26b69cee65dfe1cb91a7be2aea6a2 |
a3e4b1f5661e51b3b5bdc4cae9de6921 |
aa613662fe3c8cd108c6f7a104e75826 |
b037871f8a69f5b094dcb6f3b3986bd0 |
b439239568da85104308fa5b0588eb31 |
b56b4507a1182356e607c433d9a3a5d9 |
c00456ba818d78132aaf576f7068e291 |
c72a397fcc273b272254bb1dea0fd045 |
cd37fba00631a4a91dfb1239235abe0c |
d7383f26d56e6a21a0334ac7eb4ccf8a |
d7f7411951e4d4f678f27424c0c21ecd |
e3fec98250cdd9cefa9c00b0d782775b |
e447b5b56c0caaa51cc623d64dc275d9 |
e81aa81815e94dff6de0cb1efe48383a |
ee39bf504cb66cd22a5c2ce96c922f12 |
f13c045a7a952e44877bf3f05f2faa8c |
f2156701935f78c0ca6d610f518f4f37 |
f54291227bec8fb1c7013efba8dc9906 |
f90abd7f720a95d2999f29dbc8d45409 |
fb5e9c43062a1528ea9cd801c4c6d0b3 |
fe0720b465fcde0af7ca0b8dc103bc47 |
fe2a29ac3cae173916be42db7f2f91ef |
後門收信地址 |
---|
http://122.10.82.29/cc.asp |
http://1pl38.com/ |
http://9128.cc/update1111/index.asp |
http://aspmuma.net/ |
http://baidu.myth321.com/baidu/index.asp |
http://boos.my.to/caida |
http://caidao.guoanquangouma.com/xy.asp |
http://cd.myth321.com/index.asp |
http://cpin.g.xyz./db.asp |
http://dema.gjseo.net/db.asp |
http://demo.888p.org/inex.asp |
http://demo.asphxg.cn/xg.asp |
http://demo.gjseo.net/db.asp |
http://demo.gpzd8.com/xg.asp |
http://demo.heimaoboke.com/96cn.asp |
http://demo.heimaoboke.com/index.asp |
http://demo.hmseo.org/db.asp |
http://dns.haotianlong.com/index.asp |
http://jsc.i06.com.cn/www.asp |
http://pkpxs.com/index.asp |
http://s.anylm.com/anying/index.asp |
http://tophack.net/ |
http://www.0744m2.com/index1.asp |
http://www.668168.xyz/1index.asp |
http://www.gnrgs.cn/webshell.asp |
http://www.histtay.com/index.asp |
http://www.huaidan98.com/cd/index.asp |
http://www.jpwking.com/index.asp |
http://www.weblinux.xyz/ |
http://www.zgcaid.com/index.asp |
0x07 相關閱讀
- 【1】:簡評駭客利器——中國菜刀
- 【2】:Breaking Down the China Chopper Web Shell - Part I
Breaking Down the China Chopper Web Shell - Part II - 【3】:強大的網站管理軟體 – 中國菜刀20141213新版釋出
- 【4】:2015年中國網站安全報告
相關文章
- 網路小黑揭秘系列之黑色SEO初探2020-08-19
- 揭秘!網路詐騙催生下的秒撥IP黑產及其背後網羅的“獵物”2022-05-25
- 社交網路中的隱形追求者2013-11-03
- 黑灰產如何薅色情APP羊毛?揭秘助力黑灰產偽造新裝置的“它”2022-03-18APP
- 網路時代的隱私之殤2014-06-12
- 網際網路之達芬奇密碼:浪潮揭秘:與中國五億網民互為影響的網際網路DNA2011-07-25密碼
- 中國網際網路大會天翼雲展區大揭秘!2022-11-22
- 比隱私濫用更可怕的,是AI攝像頭的黑灰產之困2019-09-09AI
- BAT呼籲建反網路“黑產”生態圈2015-11-06BAT
- 中國電信第二屆世界網際網路大會網路保障組合拳揭秘2015-12-11
- 門羅幣隱私保護之隱形地址2024-10-16
- CCF之網路延時(樹形dp)2018-09-05
- 網路黑產揭祕,一天5W的暴利生意2022-01-27
- 懂你網路系列10之網路安全中的CSRF攻擊2021-09-09
- Mirai殭屍網路重出江湖2018-12-10AI
- 中國菜刀使用(實戰正確姿勢)2020-12-17
- k電商頻遭“薅羊毛” 加大打擊網路黑灰產2022-02-28
- 網際網路運營中的黑暗面之黑鏈產業鏈2015-09-06產業
- 揭秘故宮"網際網路之路":推近萬種萌萌噠文創產品2016-10-27
- BOS分散式鏈路追蹤產品揭秘2022-10-26分散式
- 《中國隱私科技廠商圖譜》推薦,美創科技4款產品能力與實踐揭秘!2023-09-18
- 容器安全公開課 | 揭秘容器黑產,探討容器安全解決方案2022-03-28
- 網際網路產品之運營管理2018-04-23
- 隱私失控的網際網路2013-03-28
- 從攻守日誌看網路江湖的快意恩仇2019-04-18
- 小程式系列之網路請求2021-09-09
- 和知乎聯手打擊網路黑產是什麼體驗?2020-09-29
- 犯罪分子瞄準WordPressRESTAPI漏洞進行網路黑產活動2017-09-25RESTAPI
- 中國最小黑客現身:僅12歲2014-09-26黑客
- 2013年網際網路江湖格局觀2013-02-04
- 曝光!黑灰產掘金帝國的“地基”,窺探暗象叢生的網路世界2022-03-03
- 網際網路公司忽悠員工的黑話2022-12-08
- 中國工商銀行安全攻防實驗室:2021網路金融黑產研究報告(附下載)2022-02-28
- 全面解讀!《反電信網路詐騙法》對企業、個人的影響及對網路黑灰產的整治2022-09-30
- 中國網際網路歷史上最偉大的產品TOP102008-07-23
- 每週一喂丨網路黑灰產工具“八大樣兒”2018-09-20
- BAT江湖風雲驟起 中國網際網路發展三十年迎來新拐點?2018-09-11BAT
- flutter系列之:flutter中的變形金剛Transform2022-12-05FlutterORM