导语
君子知微知彰,知柔知刚,万夫之望。
——《易经·系辞下》
安全巡检,惊现后门
春节将至,中睿天下安全专家受邀,协助某单位开展安全检查。
安全巡检过程中,中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警,提醒主机存在webshell后门。经攻击溯源后发现,系黑客利用nginx解析漏洞上传图片马入侵后,留下的驻守后门。
事实再一次证明,有一双“火眼金睛”,保持对威胁的洞察力,至关重要。
最简单的东西,往往最容易被忽视。安全同理,简单的攻击,因掉以轻心被忽视后,反而容易酿成大祸。
「睿眼」发现webshell
反黑取证,发现攻击行为
与用户沟通后,安全专家得到授权登陆该Linux主机,进行日志排查,反黑取证。
通过「睿眼」告警信息,安全专家第一时间「定位」了攻击者所连接的webshell位置。对网站目录进行分析后,安全专家共发现3个webshell。
其中“phpspy.php”为多功能大马,“name.php”和“name2.php”为内网代理webshell(开源地址:https://github.com/sensepost/reGeorg)。
webshell位置
多功能大马,提权控制主机
该Webshell可以实现目录遍历、批量挂马、清马、文件上传、命令行执行、FTP连接、组建接口、注册表读写、数据库管理、端口扫描、提权、反弹代理等功能。
黑客上传Webshell后,可以随时远程访问并控制服务器,节省每次访问不得不利用漏洞的不便。
黑客也可能自己修复这个漏洞,以确保没有其他人利用,以便保持低调,达到窃取数据、破坏、内网渗透等的目的。
“phpspy.PHP”界面
代理Webshell,建立代理通道
通过分析php源代码,安全专家发现,“name.php”和“name2.php”文件源代码相同,从功能上来看为常见的“reGeorg”代理脚本。
攻击者将webshell上传至服务器后,运行简单的命令即可在本地建立socks代理,下一步进行内网渗透等操作。
NAME.PHP脚本分析
美女图片,暗藏恶意代码
取证过程中,安全专家在预览存放上传图片的文件夹时,发现存在多张重复的美女图片,很可能为黑客利用工具批量上传时产生。同时发现存在“kali” linux系统logo的图片。
众所周知,Kali为常用的渗透测试操作系统,可以收集资料,扫描弱点等。
当安全专家以源码方式查看图片,不出所料,发现了一句话图片马。
重复出现的美女图片
美女图片马特征
内网扫描软件,实现主机探测
取证过程中,安全专家同时发现,在webshell同一目录下存在内网扫描脚本“nbtscan”,及扫描记录文件“nbt.txt”。
“nbtscan”脚本,可扫描内网所有IP及mac地址等信息。
内网扫描脚本“nbtscan”
而查看扫描产生的nbt.txt文件后,安全专家发现,攻击者早已完成内网扫描。
已完成内网扫描
漏洞验证,确认攻击手段
取证过程中,安全专家发现受攻击主机所安装的nginx版本为1.2.3,该版本存在解析漏洞。
当Nginx+PHP配合使用时,如果PHP的配置里 cgi.fix_pathinfo=1,任意文件名只要在url后面追加“/xx.php”,Nginx就会把该文件当成php文件执行,该目录下生成对应的php文件。
综合图片马分析推断得知,攻击者在正常图片中插入恶意代码,将其通过正常上传通道,传入服务器对应目录,再利用其他途径生成后门文件“name.php”,进而为所欲为。
NGINX版本
攻击过程还原
根据目前获取的威胁信息,结合取证过程发现的webshell、图片马、内网扫描软件等,还原黑客攻击过程如下:
黑客将生成Webshell的恶意代码插入到图片
黑客上传插入恶意代码的图片文件
利用nginx解析漏洞,执行图片中的恶意代码,生成一句话木马“name.php”
利用一句话后门,再上传多功能大马“phpspy.php”
利用多功能大马“phpspy.php”,上传内网扫描工具“nbtscan”,并留下扫描日志。
利用多功能大马“phpspy.php”,上传内网代理文件,并进行其他恶意操作
排查网络、内存、进程、历史操作、启动项等,均暂未发现其他恶意或敏感操作。
图片代码解读
睿眼,威胁无处遁形
针对此次的黑客行为,中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警,同时迅速应急响应,进行攻击溯源和反黑取证,并为用户提供了专业的威胁处置建议。
在整个过程中,中睿天下体现出来的强大的威胁发现能力和攻击溯源能力,快速的应急响应能力,也被用户所认可。
威胁追踪,攻击溯源,中睿天下让威胁无处遁形。
END
公众号ID:中睿天下
汇全球之智明安全之道
中睿天下是「威胁追踪」领域的「领导者」和信息安全领域的「创新者」,全球首创把「攻击溯源」技术应用于安全,为用户提供集威胁检测、威胁处置和威胁溯源一体的综合解决方案。依托“睿眼”等系列产品和资深的专家团队,中睿天下提供WEB安全、终端安全和邮件安全等解决方案,产品覆盖网络攻击的全生命周期,目前在政府、能源、金融等行业均有成功的应用。
领取专属 10元无门槛券
私享最新 技术干货