美女图片暗藏杀机，威胁追踪揪出元凶

导语

君子知微知彰，知柔知刚，万夫之望。

——《易经·系辞下》

安全巡检，惊现后门

春节将至，中睿天下安全专家受邀，协助某单位开展安全检查。

安全巡检过程中，中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警，提醒主机存在webshell后门。经攻击溯源后发现，系黑客利用nginx解析漏洞上传图片马入侵后，留下的驻守后门。

事实再一次证明，有一双“火眼金睛”，保持对威胁的洞察力，至关重要。

最简单的东西，往往最容易被忽视。安全同理，简单的攻击，因掉以轻心被忽视后，反而容易酿成大祸。

「睿眼」发现webshell

反黑取证，发现攻击行为

与用户沟通后，安全专家得到授权登陆该Linux主机，进行日志排查，反黑取证。

通过「睿眼」告警信息，安全专家第一时间「定位」了攻击者所连接的webshell位置。对网站目录进行分析后，安全专家共发现3个webshell。

其中“phpspy.php”为多功能大马，“name.php”和“name2.php”为内网代理webshell（开源地址：https://github.com/sensepost/reGeorg）。

webshell位置

多功能大马，提权控制主机

该Webshell可以实现目录遍历、批量挂马、清马、文件上传、命令行执行、FTP连接、组建接口、注册表读写、数据库管理、端口扫描、提权、反弹代理等功能。

黑客上传Webshell后，可以随时远程访问并控制服务器，节省每次访问不得不利用漏洞的不便。

黑客也可能自己修复这个漏洞，以确保没有其他人利用，以便保持低调，达到窃取数据、破坏、内网渗透等的目的。

“phpspy.PHP”界面

代理Webshell，建立代理通道

通过分析php源代码，安全专家发现，“name.php”和“name2.php”文件源代码相同，从功能上来看为常见的“reGeorg”代理脚本。

攻击者将webshell上传至服务器后，运行简单的命令即可在本地建立socks代理，下一步进行内网渗透等操作。

NAME.PHP脚本分析

美女图片，暗藏恶意代码

取证过程中，安全专家在预览存放上传图片的文件夹时，发现存在多张重复的美女图片，很可能为黑客利用工具批量上传时产生。同时发现存在“kali” linux系统logo的图片。

众所周知，Kali为常用的渗透测试操作系统，可以收集资料，扫描弱点等。

当安全专家以源码方式查看图片，不出所料，发现了一句话图片马。

重复出现的美女图片

美女图片马特征

内网扫描软件，实现主机探测

取证过程中，安全专家同时发现，在webshell同一目录下存在内网扫描脚本“nbtscan”，及扫描记录文件“nbt.txt”。

“nbtscan”脚本，可扫描内网所有IP及mac地址等信息。

内网扫描脚本“nbtscan”

而查看扫描产生的nbt.txt文件后，安全专家发现，攻击者早已完成内网扫描。

已完成内网扫描

漏洞验证，确认攻击手段

取证过程中，安全专家发现受攻击主机所安装的nginx版本为1.2.3，该版本存在解析漏洞。

当Nginx+PHP配合使用时，如果PHP的配置里 cgi.fix_pathinfo=1，任意文件名只要在url后面追加“/xx.php”，Nginx就会把该文件当成php文件执行，该目录下生成对应的php文件。

综合图片马分析推断得知，攻击者在正常图片中插入恶意代码，将其通过正常上传通道，传入服务器对应目录，再利用其他途径生成后门文件“name.php”，进而为所欲为。

NGINX版本

攻击过程还原

根据目前获取的威胁信息，结合取证过程发现的webshell、图片马、内网扫描软件等，还原黑客攻击过程如下：

黑客将生成Webshell的恶意代码插入到图片

黑客上传插入恶意代码的图片文件

利用nginx解析漏洞，执行图片中的恶意代码，生成一句话木马“name.php”

利用一句话后门，再上传多功能大马“phpspy.php”

利用多功能大马“phpspy.php”，上传内网扫描工具“nbtscan”，并留下扫描日志。

利用多功能大马“phpspy.php”，上传内网代理文件，并进行其他恶意操作

排查网络、内存、进程、历史操作、启动项等，均暂未发现其他恶意或敏感操作。

图片代码解读

睿眼，威胁无处遁形

针对此次的黑客行为，中睿天下「睿眼」攻击溯源系统第一时间进行了「独家」的威胁预警，同时迅速应急响应，进行攻击溯源和反黑取证，并为用户提供了专业的威胁处置建议。

在整个过程中，中睿天下体现出来的强大的威胁发现能力和攻击溯源能力，快速的应急响应能力，也被用户所认可。

威胁追踪，攻击溯源，中睿天下让威胁无处遁形。

END

公众号ID：中睿天下

汇全球之智明安全之道

中睿天下是「威胁追踪」领域的「领导者」和信息安全领域的「创新者」，全球首创把「攻击溯源」技术应用于安全，为用户提供集威胁检测、威胁处置和威胁溯源一体的综合解决方案。依托“睿眼”等系列产品和资深的专家团队，中睿天下提供WEB安全、终端安全和邮件安全等解决方案，产品覆盖网络攻击的全生命周期，目前在政府、能源、金融等行业均有成功的应用。