网络小黑揭秘系列之黑产江湖黑吃黑—厨房切菜之利器

Author:360天眼安全实验室

0x00 引子

【资料图】

人在做，天在看。

黑产乃法外之地，被丛林法则所支配。没有了第三方强制力量的保障和监督，在那个圈子里我们可以看到两个极端：想做大生意的往往极重信誉，而那些只想捞一票就走的则会肆无忌惮地黑吃黑。

2015年12月中，360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”，简单揭露了下网络上的黑色SEO活动，同时也提到了很多黑客工具中带有后门，其中就包括了某些使用面非常广的工具。没错，这回我们的主角是小黑们最喜闻乐见的中国菜刀。

0x01 中国菜刀

菜刀，厨房切菜之利器，亦可用于砍人。中国菜刀(China Chopper)亦是如此，它是一款支持多种语言的非常优秀的WebShell管理程序，可用于正常的网站管理，亦可以用于非法控制管理他人网站，总之是站长居家旅行助手、黑客杀人越货利器。据说作者是一退伍军人，国内有人写了简评并借鬼仔’s Blog【1】发布，国外亦有FireEye【2】写了详细的剖析报告。

通过360云安全的大数据查看菜刀官网的站点数据，官网在2014年的12月份发布caidao-20141213版本之后没几天，就停止下载并且关闭了网站（域名IP曾一度指向了GOOGLE.COM），关站的诱因可能是因为Freebuf上发了一篇名为“强大的网站管理软件 – 中国菜刀20141213新版发布”的介绍文章配【3】。虽然中国菜刀的官网早已关闭，但好东西自有它的生命力，从某种意义上说中国菜刀已经是一个品牌甚至用现在最火的概念来说已经成为一个IP，官方的支持不再重要，自有人来维护传播它，当然，也包括了里面夹带的私货——也就是后门。

0x02 样本分析

其实，之前已经有很多人写过中国菜刀的后门，本文无意再作重复，以下主要对采用“db.tmp”模式的后门做下简要的分析。

通过对收集到的大量样本进行分析，发现这些带有后门的中国菜刀都基本上通过修改原版的某些特征来绕过“安全狗”等Web安全防护软件，同时修改PE的导入表引入一个动态链接的后门模块。为了通过迷惑用户而不被发现，将后门的名字伪装成数据库的临时文件，也就是“db.tmp”，因为“中国菜刀”的默认数据库文件名为“db.mdb”。

caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b

对“db.tmp”进行汇总分析，发现PE文件时间戳是伪造的，也就无法通过这个属性进行分类。根据文件大小大致能分成两个版本：一个32K大小的早期版本，另外一个36K大小的改进版本。两个版本的实际功能都差不多，使用VB6编写，通过对这些文件进行二进制比较确认相同版本的文件大小相同而后门地址不一样，应该是有使用模版生成器来进行生成。

对“db.tmp”进行反汇编分析，发现带后门的菜刀会针对抓包软件进行行为隐藏，当发现系统中有以下进程的时候不执行后门行为动作，使其逃过可能的监视。

通过循环读取mdb数据库中的SiteUrl的值并进行判断，排除目的是为了排除中国菜刀默认生成的示例信息）后继续读取SitePass、nCodePage、Config字段值，最后和程序中所配置的后门地址进行拼接，发送数据完成Webshell信息的上传。

0x03 传播手段

样本本身从技术上其实没多少可说的，保证效果真正的手段是其传播方法，这个决定了后门操盘手能最终收割多少。以下是我们确认的一些传播渠道：

1、SEO优化

在手上有大量的Webshell之后，后门菜刀的幕后操刀手可以很方便的利用这些Webshell将自己的网站SEO到一个比较理想的位置。在某搜索引擎的第一页结果中，我们可以看到除了推广链接排名在第一位，第二位和第三位都是SEO上去的假官网。

我们将仿冒的官网域名列举如下，基于360的大数据统计了2015年12月07日至16日共计十天的PVUV访问量，从数据来看SEO还是有些效果的。

2、购买搜索引擎关键词

大家是否还记得2012年年初，曾有人在某搜索引擎中购买putty、winscp、SSHSecure等ssh工具的关键词，使很多人通过该引擎搜索时点击了推广链接，跳转到所谓的中文网站并下载运行了包含后门的中文版工具，该后门会将用户连接过的服务器IP地址、端口号、用户名及密码上传至“l.ip-163.com”这个网站，事情曝光后有白帽子在第一时间通过技术手段发现该服务器已经使数千人中招，甚至包括某些国际大厂的员工。“中国菜刀”这么受欢迎的工具，如果SEO效果不好，购买搜索引擎关键词进行推广是一个比较理想的高效推广手段。经过简单的测试，发现这些带有后门的“中国菜刀”在某搜索引擎上，买了至少以下三个关键词“过狗菜刀”、“中国菜刀”和“XISE”进行推广。

3、通过一些黑客论坛进行发布

在不少论坛或黑客组织中，都有收集整理黑客工具并打包发布的传统，这些都是脚本小子的最爱。针对这些带后门的中国菜刀进行追踪溯源，发现很多都是通过黑客工具包进行传播的，我们整理了一份不完全的名单——这些带有后门的中国菜刀被有意或者无意加入了这些工具集合中。

4、通过QQ群、论坛等特定的圈子进行传播

很多黑客的成长，要么是自己观看他人的教程然后依样画葫芦学习，要么是有老司机带路甚至是手把手的教。在这个过程中，这群人总会在某个地方形成一个圈子，QQ群也好，论坛也罢，收费的也好，免费也罢。但这些圈子可能并不纯粹，老司机有可能也是个半桶水，或者在教的过程中故意留一手——因为我们发现有不少教程中所附带的工具包也是带有后门的。以下是几个例子：

0x04 中国菜刀的背后

网站安全概况

透过传播手段，我们可以看到“中国菜刀”在中国的流行程度。而中国菜刀的流行也同国内网站的安全性相关。让我们先看看《2015年中国网站安全报告》【4】中的一段数据：

正因为有大量的网站存在漏洞，所以有大量的自动漏洞扫描及入侵工具。使用中国菜刀来对这些Webshell进行批量管理，小黑们可以非常愉快地执行恶意SEO、挂黑链、挂黑页等活动。

恶意SEO 恶意SEO后门是指针对网站服务器加载恶意SEO代码，从而借正规网址域名实施搜索引擎优化或诱导欺诈。挂黑链 挂黑链是指通过篡改原网站相关页面数据，植入可见或不可以页面代码元素，从而达到恶意SEO（即黑帽SEO）的目的。挂黑页 挂黑页是指通过篡改原网站的页面或增加页面，在这个页面实现钓鱼的行为。如下图就是通过在正规网站中，植入伪装成“网游交易门户”的欺诈页面。

通过对中国菜刀后门的逆向分析，从样本中提取了几个典型的后门箱子链接，由此获取这些箱子是个挺简单的事，统计发现数据还是很惊人的。数据如下表：

假冒网站溯源

所有读过360天眼实验室以前文章的同学们都应该知道，技术的分析和数据的统计大多只是开胃菜，正餐往往在后头，让我们来追追菜刀后门的操盘手们。