一次網站攻擊日志分析引發的思考

0x0 背景

前幾天發現自己的VPS服務器莫名其妙遭受一些漏洞利用的掃描事件，然后就抓個包看一下到底是個什么情況。抓到的數據包如下就是一些ThinkPHP5的遠程命令執行漏洞，本來也很正常這種事情但是注意到這個payload有點意思，就花點心思瞧瞧。

0x1 分析思路

漏洞的原理分析就不多再贅述比較好奇的是這個http://107.148.223.222/php/1/editor.txt網頁訪問后確認就是一個wesbehll后門。

該IP的歸屬地在米國加州，提示為IDC服務器的主機，社區用戶標記為可疑。

本來想通過威脅情報能夠關聯到更多的信息，目前也只是4-2收錄了一個editor.txt這個樣本，未能發現更多的信息。而且該txt也被標記成了安全、無論怎么看這個腳本也不安全才對呀，于是準備換個思路再深入看看。

干脆就訪問一下這個網站的根目錄一探究竟。網站看起來是十八般武器樣樣都有，大馬小馬一句話、冰蝎lcx圖片馬。唯一的問題是，這些馬都是txt格式不是常規的php、jsp、aspx一類的腳本格式。黑帽子們主要還是想通過一些RCE在網頁上通過file_get_content一類的函數遠程寫入。我想這些黑帽子的目的并不是為了拿到這個站的權限，本質上完全可以通過RCE繼續滲透內容擴大戰果，他們的真實目的應該還有其它。

既然是這樣，就先下載下來用D盾檢驗一下免殺效果。24個只檢出了10個居然還有一個級別為1的，其他的應該就是有繞過姿勢的或者有其他什么目的。

意外發現這個easy.txt其實是一個PE文件，而且還是有數字簽名的PE文件實際為Easy file Locker。利用該工具可以實現對文件和文件夾的屬性進行修改實現隱藏的目的。

lcx.txt也是一個PE文件，主要實現端口轉發的功能可以滿足把肉雞A上的3389端口轉發到B機上的需求，但是這個一般的殺軟會直接識別并隔離還是比較常見。

翻來翻去，還是發現這里居然還有好幾個php的免殺馬，于是準備對這個樣本進行深入的分析一下。該腳本通過構建一個Globe的類里面的析構函數，實現了一個命令執行的功能。如371行的代碼可見，有經驗的小伙伴應該都懂得不多扯淡，這個是一個已知的后門文件。

其他function的功能通過命名方式，多少可以確認一些主要目的不再多贅述，代碼即注釋啊。感興趣的是這個var變量里面有一個URL地址，由于對這個比較感興趣就多關注了一些。如代碼69行、143行、371行的使用來看。主要是讀取受害者主機的IP地址、依次生成CRC32的校驗、abs之后生成的var應該是保留在3位數以內的一個數值。如果IP地址為255.255.255.255那么生成的var數值為475；如果IP地址為200.200.1.123 生成的var數組則為179。仔細想來除了在計算機網絡里面接觸過這個crc，今天還是第二次接觸到這個冗余校驗碼，多數還是sha系列、md5、RSA、RC4之類的多一些。玩的這么復雜和高端，不知道到底是要干嘛？那么生成的訪問域名則為

http://475.p.oubao3389.tech:1942

http://179.p.oubao3389.tech:1942

繼續訪問后的網址上依舊存放了一些經過特殊編碼的base64的代碼

經過解碼后的內容看來，大約有120+行的代碼量應該是一個網站的惡意SEO的代碼模塊。大概讀了一下代碼，功能還是有點多。看到這個關鍵字，輪鏈問一下度娘感覺仿佛打開了新世界，感興趣的小伙伴可以自行了解一下。

然后突然又一想，如果這個var的數值不是三位數又會怎么樣？報著這種心態，然后繼續再訪問一波 http://66666.p.oubao3389.tech:1942 居然返回了一個特殊的網站路徑。

打開網址后是一個娛樂網站、在其他腳本里面還包含了另外的一些網址訪問之后的內容基本保持一致，看起來這個才是最后的目的。最開始的那個工具包就是想通過web系統的RCE漏洞植入存放在惡意服務器上的廣告SEO腳本。

0x2 碎碎念

其他信息感覺倒也沒有什么值得深入分析的必要，但是到了這里倒是引發了另外一種的思考。目前各個安全廠商的安全設備，在針對webshell上傳的識別能力應該還是不錯的，常見的做法都是通過截取上傳的文件內容進行文本識別，本質上和D盾的思路應該是一樣的，簡單點或許簡單的字符規則、文本規則也有，高端一點可以用到語義識別和自然語言處理，雖然各有優劣但是相關解決方案還是比較成熟的。

這個場景的識別一般是建立在 外網到內網的上傳，相關的內網應該是在HTTP頭數據包里面的Request Body這個部分，方法也多數是POST類型。

那如何是webshell的主動下載呢？那么方向就是主動從內網到外網的發起的請求，多數也是get請求，腳本代碼是在response body的部分，那么在很多場景說不定是一個突破的好思路。

0x3 總結

總體來看這個應該是一些利用常見的一些Web RCE漏洞來進行網站SEO達到牟利的一個組織，從過程中利用的工具和攻擊手法來看有條不紊可以用精細進行描述，由于利用的都是一些已知漏洞還是容易被察覺。由于之前跟進的比較多都是一些熱點的病毒勒索和定向攻擊場景，在黑鏈這個場景下的經驗還比較缺乏，總感覺發現的還只是冰山一角。