网络小黑揭秘系列之黑产江湖黑吃黑—厨房切菜之利器
Author:360天眼安全实验室
0x00 引子
【资料图】
人在做,天在看。
黑产乃法外之地,被丛林法则所支配。没有了第三方强制力量的保障和监督,在那个圈子里我们可以看到两个极端:想做大生意的往往极重信誉,而那些只想捞一票就走的则会肆无忌惮地黑吃黑。
2015年12月中,360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”,简单揭露了下网络上的黑色SEO活动,同时也提到了很多黑客工具中带有后门,其中就包括了某些使用面非常广的工具。没错,这回我们的主角是小黑们最喜闻乐见的中国菜刀。
0x01 中国菜刀
菜刀,厨房切菜之利器,亦可用于砍人。中国菜刀(China Chopper)亦是如此,它是一款支持多种语言的非常优秀的WebShell管理程序,可用于正常的网站管理,亦可以用于非法控制管理他人网站,总之是站长居家旅行助手、黑客杀人越货利器。据说作者是一退伍军人,国内有人写了简评并借鬼仔’s Blog【1】发布,国外亦有FireEye【2】写了详细的剖析报告。
通过360云安全的大数据查看菜刀官网的站点数据,官网在2014年的12月份发布caidao-20141213版本之后没几天,就停止下载并且关闭了网站(域名IP曾一度指向了GOOGLE.COM),关站的诱因可能是因为Freebuf上发了一篇名为“强大的网站管理软件 – 中国菜刀20141213新版发布”的介绍文章配【3】。虽然中国菜刀的官网早已关闭,但好东西自有它的生命力,从某种意义上说中国菜刀已经是一个品牌甚至用现在最火的概念来说已经成为一个IP,官方的支持不再重要,自有人来维护传播它,当然,也包括了里面夹带的私货——也就是后门。
0x02 样本分析
其实,之前已经有很多人写过中国菜刀的后门,本文无意再作重复,以下主要对采用“db.tmp”模式的后门做下简要的分析。
通过对收集到的大量样本进行分析,发现这些带有后门的中国菜刀都基本上通过修改原版的某些特征来绕过“安全狗”等Web安全防护软件,同时修改PE的导入表引入一个动态链接的后门模块。为了通过迷惑用户而不被发现,将后门的名字伪装成数据库的临时文件,也就是“db.tmp”,因为“中国菜刀”的默认数据库文件名为“db.mdb”。
caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b
对“db.tmp”进行汇总分析,发现PE文件时间戳是伪造的,也就无法通过这个属性进行分类。根据文件大小大致能分成两个版本:一个32K大小的早期版本,另外一个36K大小的改进版本。两个版本的实际功能都差不多,使用VB6编写,通过对这些文件进行二进制比较确认相同版本的文件大小相同而后门地址不一样,应该是有使用模版生成器来进行生成。
对“db.tmp”进行反汇编分析,发现带后门的菜刀会针对抓包软件进行行为隐藏,当发现系统中有以下进程的时候不执行后门行为动作,使其逃过可能的监视。
通过循环读取mdb数据库中的SiteUrl的值并进行判断,排除目的是为了排除中国菜刀默认生成的示例信息)后继续读取SitePass、nCodePage、Config字段值,最后和程序中所配置的后门地址进行拼接,发送数据完成Webshell信息的上传。
0x03 传播手段
样本本身从技术上其实没多少可说的,保证效果真正的手段是其传播方法,这个决定了后门操盘手能最终收割多少。以下是我们确认的一些传播渠道:
1、SEO优化
在手上有大量的Webshell之后,后门菜刀的幕后操刀手可以很方便的利用这些Webshell将自己的网站SEO到一个比较理想的位置。在某搜索引擎的第一页结果中,我们可以看到除了推广链接排名在第一位,第二位和第三位都是SEO上去的假官网。
我们将仿冒的官网域名列举如下,基于360的大数据统计了2015年12月07日至16日共计十天的PVUV访问量,从数据来看SEO还是有些效果的。
2、购买搜索引擎关键词
大家是否还记得2012年年初,曾有人在某搜索引擎中购买putty、winscp、SSHSecure等ssh工具的关键词,使很多人通过该引擎搜索时点击了推广链接,跳转到所谓的中文网站并下载运行了包含后门的中文版工具,该后门会将用户连接过的服务器IP地址、端口号、用户名及密码上传至“l.ip-163.com”这个网站,事情曝光后有白帽子在第一时间通过技术手段发现该服务器已经使数千人中招,甚至包括某些国际大厂的员工。“中国菜刀”这么受欢迎的工具,如果SEO效果不好,购买搜索引擎关键词进行推广是一个比较理想的高效推广手段。经过简单的测试,发现这些带有后门的“中国菜刀”在某搜索引擎上,买了至少以下三个关键词“过狗菜刀”、“中国菜刀”和“XISE”进行推广。
3、通过一些黑客论坛进行发布
在不少论坛或黑客组织中,都有收集整理黑客工具并打包发布的传统,这些都是脚本小子的最爱。针对这些带后门的中国菜刀进行追踪溯源,发现很多都是通过黑客工具包进行传播的,我们整理了一份不完全的名单——这些带有后门的中国菜刀被有意或者无意加入了这些工具集合中。
4、通过QQ群、论坛等特定的圈子进行传播
很多黑客的成长,要么是自己观看他人的教程然后依样画葫芦学习,要么是有老司机带路甚至是手把手的教。在这个过程中,这群人总会在某个地方形成一个圈子,QQ群也好,论坛也罢,收费的也好,免费也罢。但这些圈子可能并不纯粹,老司机有可能也是个半桶水,或者在教的过程中故意留一手——因为我们发现有不少教程中所附带的工具包也是带有后门的。以下是几个例子:
0x04 中国菜刀的背后
网站安全概况
透过传播手段,我们可以看到“中国菜刀”在中国的流行程度。而中国菜刀的流行也同国内网站的安全性相关。让我们先看看《2015年中国网站安全报告》【4】中的一段数据:
正因为有大量的网站存在漏洞,所以有大量的自动漏洞扫描及入侵工具。使用中国菜刀来对这些Webshell进行批量管理,小黑们可以非常愉快地执行恶意SEO、挂黑链、挂黑页等活动。
恶意SEO 恶意SEO后门是指针对网站服务器加载恶意SEO代码,从而借正规网址域名实施搜索引擎优化或诱导欺诈。挂黑链 挂黑链是指通过篡改原网站相关页面数据,植入可见或不可以页面代码元素,从而达到恶意SEO(即黑帽SEO)的目的。挂黑页 挂黑页是指通过篡改原网站的页面或增加页面,在这个页面实现钓鱼的行为。如下图就是通过在正规网站中,植入伪装成“网游交易门户”的欺诈页面。
通过对中国菜刀后门的逆向分析,从样本中提取了几个典型的后门箱子链接,由此获取这些箱子是个挺简单的事,统计发现数据还是很惊人的。数据如下表:
假冒网站溯源
所有读过360天眼实验室以前文章的同学们都应该知道,技术的分析和数据的统计大多只是开胃菜,正餐往往在后头,让我们来追追菜刀后门的操盘手们。
标签:
相关推荐:
最新新闻:
- 安卓手机如何刷机?安卓手机刷机教程
- 网页自动刷新怎么设置?网页实现自动刷新步骤
- 索泰显卡怎么样?索泰RTX 4090 AMP EXTREME AIRO显卡评测
- 如何快速输入特殊符号?特殊符号怎么打出来?
- 电脑温度多少度正常?看看你的电脑温度多少?
- 显卡检测工具有哪些?显卡用什么软件去检测?
- win7网络连接不可用是怎么回事?电脑连接不可用解决方法
- 内存条价格上涨的原因是什么?内存条价格上涨的原因介绍
- 手机电子签名怎么弄?电子签名制作步骤
- epson630k打印机怎么换色带?针式打印机色带安装方法
- 擦掉照片上的衣服app 去掉照片上衣服操作步骤
- 讯息:《巫师:血源》翻车 成烂番茄观众评分最差网飞剧集
- Falcom公开《伊苏10》新概念图 游戏将于2023年发售
- 网络小黑揭秘系列之黑产江湖黑吃黑—厨房切菜之利器
- 金山打字通五笔怎么使用?金山打字通五笔介绍及讲解
- 《蜡笔小新 我与博士的暑假》Steam国区售价永降 全区最低
- 专家狠批算法推荐 看短视频频率影响未成年人价值取向
- Steam年度游戏数据回顾 今年玩了多少款游戏?
- 《星战绝地:幸存者》新加坡分级完成 适合16岁观众游玩
- MAGES.发表2022财年财报 共损失6.13亿日元
- 最新:重症高峰下,中国最知名呼吸科医院的急救室一夜
- 干装修的电影人
- 做梦都不敢想 国外一工地竟出现一块“RTX 8090Ti”超级显卡
- iPhone 15 mini将回归:价格为699美元
- 天天时讯:钛金属加持 小米米家保温杯Ti明日开启众筹
- 爆料称AMD锐龙 7040移动处理器支持LPDDR5-7500内存:全球快讯
- 苹果A16的秘密公开了 原计划继续领先安卓两年
- 肉腿即正义!《莱莎的炼金工房3》×伊织萌Cosplay照片公开:世界讯息
- 黑暗幻想JRPG《索迪斯之沙》现已上架Steam
- 关于赚钱,别太轻佻|即时看
- 最新快讯!联想拯救者刃7000K台式机开启预售 9999元起
- ThinkPad上经典的小红点设计还能存在多久?联想给出最终答案_天天新动态
- 天天百事通!Win11记事本迎来“大升级”:将新增标签页功能
- 世界实时:CES 2023华硕预热 新款轻薄本将开启OLED屏幕新维度
- 《死神:千年血战篇》第二阶段诀别谭明年7月开播
- 今日讯!日本足球之父给国足3点建议:若不改 50年后依然如此
- 环球观天下!胡昕炜:消费超越2019年只需要时间,以现在消费的估值,慢慢赚业绩增长的钱,预制菜投资仍需要观察
- 环球热消息:许家印之“印”
- Steam开启2022年回顾专题 可查全年游戏数据:每日热议
- 天天热推荐:特斯拉内置导航不再只找超充 第三方充电桩白名单
- 14代酷睿处理器核显大变化,首发支持AV1编解码体积比H.265小20%
- 国产CPU与国产OS强强联合,兆芯-统信生态适配超100万
- 支付宝紧急上线“健康防疫”专区:大家可在线问诊买药:天天看点
- 荣耀路由X4 Pro发布,Wi-Fi 6路由杀到169元还带三个千兆网口
- 天天热头条丨任天堂发布《火焰纹章:结合》基础玩法介绍视频
- 环球速递!400美元一个赛季 NFL周日票首次登录流媒体
- 有PS5手柄那味了:微软新Xbox手柄将加入触控板
- 限制太多 网飞广告版用户并不喜欢
- 【环球报资讯】Steam冬季特卖开启 投票可获得集换式卡牌 合成Steam大奖徽章!
- 今日热文:交错式HDR?Pixel8新技术细节披露
- 《卧龙:苍天陨落》亚洲限定典藏版公布:售价792元
- 《西游记之七十二变》曝终极预告和终极海报
- 新冠疫苗对新毒株到底有没有效果?
- 小米mini主机格外畅销 i5主机2799 全球热门
- 小米12s Ultra官方降价:到手仅4999元 全球新消息
- 环球关注:2599元起,荣耀平板V8 Pro正式发布,搭载天玑8100
- 荣耀平板V8 Pro发布:首款天玑8100平板 2599起:环球新动态
- 荣耀平板V8 Pro预售:2499元起 首发立减100元
- 《阿凡达2》角色特效前后对比 73岁演员变身14岁少女:环球新资讯
- 网飞动画《恶魔城:夜曲》玛利亚·雷纳德造型公开-天天讯息
- 北京多家社区卫生中心证实:收到辉瑞新冠药培训通知,但药还没到!北京医保局称按甲类报销
- 全球快报:显卡降价趋势已停,RTX30系去库存成功
- 《巫师3:狂猎》次世代拍照模式图赏:风景美如画!|每日速看
- “2022知乎年度数码(家电)榜单”正式发布 成为消费决策重要参考
- 阳着的考研人,在考场上煎熬
- 当颜宇宙与潮流艺术碰撞,美颜相机虚拟衣服上线
- 家用好物选购指南:排插怎么选?认准这个标准很重要! 全球快播
- 天天观焦点:升级好机会 RTX ON 购铭瑄RTX3060及以上显卡获赠《穿越火线》稀有礼包
- 中关村在线荣获“2022中国数字化营销大会金牛奖”——最佳整合营销传播奖
- 红魔8 Pro手机发布:骁龙8 Gen2首款游戏手机 3999元
- 男子开车送外卖2小时挣150元被质疑摆拍 网友:根本没地方停车
- Xbox全新宣传片:陪你享受一人狂欢_当前动态
- 《少女*领域》已於STEAM平台正式上市!
- 欧洲央行鹰派成员:紧缩周期进入“下半场”,将继续快速加息 今日报
- “特朗普将在狱中度过余生”!美议员发声:特朗普或被起诉定罪……