美女图片暗藏杀机,威胁追踪揪出元凶

导语

君子知微知彰,知柔知刚,万夫之望。

——《易经·系辞下》

安全巡检,惊现后门

春节将至,中睿天下安全专家受邀,协助某单位开展安全检查。

安全巡检过程中,中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警,提醒主机存在webshell后门。经攻击溯源后发现,系黑客利用nginx解析漏洞上传图片马入侵后,留下的驻守后门。

事实再一次证明,有一双“火眼金睛”,保持对威胁的洞察力,至关重要。

最简单的东西,往往最容易被忽视。安全同理,简单的攻击,因掉以轻心被忽视后,反而容易酿成大祸。

「睿眼」发现webshell

反黑取证,发现攻击行为

与用户沟通后,安全专家得到授权登陆该Linux主机,进行日志排查,反黑取证。

通过「睿眼」告警信息,安全专家第一时间「定位」了攻击者所连接的webshell位置。对网站目录进行分析后,安全专家共发现3个webshell。

其中“phpspy.php”为多功能大马,“name.php”和“name2.php”为内网代理webshell(开源地址:https://github.com/sensepost/reGeorg)。

webshell位置

多功能大马,提权控制主机

该Webshell可以实现目录遍历、批量挂马、清马、文件上传、命令行执行、FTP连接、组建接口、注册表读写、数据库管理、端口扫描、提权、反弹代理等功能。

黑客上传Webshell后,可以随时远程访问并控制服务器,节省每次访问不得不利用漏洞的不便。

黑客也可能自己修复这个漏洞,以确保没有其他人利用,以便保持低调,达到窃取数据、破坏、内网渗透等的目的。

“phpspy.PHP”界面

代理Webshell,建立代理通道

通过分析php源代码,安全专家发现,“name.php”和“name2.php”文件源代码相同,从功能上来看为常见的“reGeorg”代理脚本。

攻击者将webshell上传至服务器后,运行简单的命令即可在本地建立socks代理,下一步进行内网渗透等操作。

NAME.PHP脚本分析

美女图片,暗藏恶意代码

取证过程中,安全专家在预览存放上传图片的文件夹时,发现存在多张重复的美女图片,很可能为黑客利用工具批量上传时产生。同时发现存在“kali” linux系统logo的图片。

众所周知,Kali为常用的渗透测试操作系统,可以收集资料,扫描弱点等。

当安全专家以源码方式查看图片,不出所料,发现了一句话图片马

重复出现的美女图片

美女图片马特征

内网扫描软件,实现主机探测

取证过程中,安全专家同时发现,在webshell同一目录下存在内网扫描脚本“nbtscan”,及扫描记录文件“nbt.txt”。

“nbtscan”脚本,可扫描内网所有IP及mac地址等信息。

内网扫描脚本“nbtscan”

而查看扫描产生的nbt.txt文件后,安全专家发现,攻击者早已完成内网扫描

已完成内网扫描

漏洞验证,确认攻击手段

取证过程中,安全专家发现受攻击主机所安装的nginx版本为1.2.3,该版本存在解析漏洞

当Nginx+PHP配合使用时,如果PHP的配置里 cgi.fix_pathinfo=1,任意文件名只要在url后面追加“/xx.php”,Nginx就会把该文件当成php文件执行,该目录下生成对应的php文件。

综合图片马分析推断得知,攻击者在正常图片中插入恶意代码,将其通过正常上传通道,传入服务器对应目录,再利用其他途径生成后门文件“name.php”,进而为所欲为。

NGINX版本

攻击过程还原

根据目前获取的威胁信息,结合取证过程发现的webshell、图片马、内网扫描软件等,还原黑客攻击过程如下:

黑客将生成Webshell的恶意代码插入到图片

黑客上传插入恶意代码的图片文件

利用nginx解析漏洞,执行图片中的恶意代码,生成一句话木马“name.php”

利用一句话后门,再上传多功能大马“phpspy.php”

利用多功能大马“phpspy.php”,上传内网扫描工具“nbtscan”,并留下扫描日志。

利用多功能大马“phpspy.php”,上传内网代理文件,并进行其他恶意操作

排查网络、内存、进程、历史操作、启动项等,均暂未发现其他恶意或敏感操作。

图片代码解读

睿眼,威胁无处遁形

针对此次的黑客行为,中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警,同时迅速应急响应,进行攻击溯源反黑取证,并为用户提供了专业的威胁处置建议。

在整个过程中,中睿天下体现出来的强大的威胁发现能力和攻击溯源能力,快速的应急响应能力,也被用户所认可。

威胁追踪,攻击溯源,中睿天下让威胁无处遁形。

END

公众号ID:中睿天下

汇全球之智明安全之道

中睿天下是「威胁追踪」领域的「领导者」和信息安全领域的「创新者」,全球首创把「攻击溯源」技术应用于安全,为用户提供集威胁检测、威胁处置和威胁溯源一体的综合解决方案。依托“睿眼”等系列产品和资深的专家团队,中睿天下提供WEB安全、终端安全和邮件安全等解决方案,产品覆盖网络攻击的全生命周期,目前在政府、能源、金融等行业均有成功的应用。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180209G0TNZ500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券