线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

围观次数:2,140 views

 

守望者团队于近期检测到针对某IDC托管的多个互联网网站的Webshell批量探测攻击事件,虽然大部分的攻击都属于攻击尝试,我们依然获取到了一些攻击信息,本次分析通过纰漏一部分的攻击信息旨在重申互联网安全的重要性。

1、    攻击源列表

以下为主要的攻击源地址,其中肯定有部分地址是肉鸡,攻击者通过这些机器来控制webshell,隐藏自身。针对受害者部分信息做了掩码屏蔽。

序号

 攻击来源IP

IP所属区域

攻击目标

攻击次数

1

1.202.70.159

中国 北京 北京

http://www.****monxx.cn

2

2

101.87.147.206

中国 上海 上海

http://www.***yxx.com

3

3

103.242.2.138

中国 香港

http://www.****xx.cn

4

4

106.2.238.23

中国 北京 北京

http://www.****cxx.com

6

5

106.2.238.30

中国 北京 北京

http://www.****cxx.com

5

6

108.162.222.202

CLOUDFLARE CLOUDFLARE

http://www.****xx.com

6

7

108.162.222.217

CLOUDFLARE CLOUDFLARE

http://bbs.****xx.cn

2

8

108.162.222.240

CLOUDFLARE CLOUDFLARE

http://www.****xx.com

14

9

111.79.240.240

中国 江西 赣州

http://www.****xx.org.cn

1

10

112.66.15.6

中国 海南 海口

http://www.****liexx.com

4

11

112.66.16.4

中国 海南 海口

http://www.un****ixx.com

328

12

112.66.189.44

中国 海南 海口

http://www.****xx.cn

159

13

112.67.44.85

中国 海南 儋州

http://www.****choxx.com.cn

550

14

115.151.206.44

中国 江西 萍乡

http://www.****xx.cn

9

15

115.151.215.119

中国 江西 萍乡

http://www.****xx.cn

11

16

115.151.234.112

中国 江西 萍乡

http://www.****xx.cn

3

17

115.153.167.179

中国 江西 萍乡

http://www.****xx.cn

19

18

115.159.114.99

中国 上海 上海

http://www.****xx.org.cn

6

19

115.214.239.59

中国 浙江 宁波

http://m.huatuoxx.com

1

20

118.184.13.92

中国 香港

http://www.****choxx.com.cn

122

21

118.193.144.5

中国 香港

http://www.****xx.org.cn

5

22

118.193.155.109

中国 香港

http://news.****xx.cn

114

23

118.193.250.40

中国 香港

http://admin.****xx.org.cn

4

24

120.26.218.40

中国 浙江 杭州

http://www.un****ixx.com.cn

61

25

122.193.14.85

中国 江苏 南京

http://bbs.****lixx.com.cn

4

26

122.228.18.229

中国 浙江 温州

http://www.****.org.cn

3

27

123.57.37.192

中国 北京 北京

http://cph***shxx.com

2

28

124.126.153.231

中国 北京 北京

http://www.****monxx.cn

1

29

124.232.163.27

中国 湖南 长沙

http://www.****choxx.com.cn

34

30

125.47.161.180

中国 河南 平顶山

http://www.***yxx.com

30

31

139.203.111.152

中国 四川 南充

http://www.****xx.org.cn

2

32

14.111.119.29

中国 重庆 重庆

http://www.****choxx.com.cn

118

33

14.18.253.17

中国 广东 广州

http://admin.****xx.org.cn

1

34

14.18.253.23

中国 广东 广州

http://www.****xx.org.cn

1

35

14.18.253.4

中国 广东 广州

http://www.****xx.cn

1

36

14.18.253.9

中国 广东 广州

http://admin.****xx.org.cn

3

37

150.129.80.28

中国 香港

http://www.****xx.org.cn

3

38

153.36.24.105

中国 江苏 徐州

http://www.****xx.cn

1

39

158.69.26.8

加拿大 加拿大

http://www.****xx.org.cn

9

40

173.245.48.248

美国 美国

http://bbs.****xx.cn

2

41

173.245.49.118

美国 美国

http://www.****xx.com

24

42

173.245.49.122

美国 美国

http://xueqian.****xx.com

15

43

173.245.49.161

美国 美国

http://zaojiao.****xx.com

8

44

173.245.49.166

美国 美国

http://it.****xx.com

12

45

173.245.49.170

美国 美国

http://ysx.****xx.com

13

46

173.245.49.171

美国 美国

http://ysdm.****xx.com

15

47

173.245.49.172

美国 美国

http://ysdm.****xx.com

22

48

173.245.49.175

美国 美国

http://open.****xx.com

12

49

173.245.49.177

美国 美国

http://my.****xx.com

10

50

173.245.49.178

美国 美国

http://sales.****xx.com

19

51

173.245.49.181

美国 美国

http://photo.****xx.com

10

52

173.245.49.186

美国 美国

http://daili.****xx.com

31

53

173.245.49.192

美国 美国

http://auto.****xx.com

34

54

173.245.49.218

美国 美国

http://caiwu.****xx.com

14

55

173.245.49.221

美国 美国

http://lesson.****xx.com

5

56

173.245.49.227

美国 美国

http://bbs.****xx.com

19

57

173.245.49.229

美国 美国

http://kaoji.****xx.com

19

58

173.245.49.236

美国 美国

http://itrz.****xx.com

34

59

173.245.49.240

美国 美国

http://software.****xx.com

16

60

173.245.62.220

美国 美国

http://ysdm.****xx.com

25

61

174.139.82.226

美国 美国

http://www.****liexx.com

214

62

175.2.252.237

中国 湖南 娄底

http://www.****liexx.com

1

63

182.106.193.226

中国 江西 萍乡

http://www.newsnxx.com.cn

15

64

182.99.234.7

中国 江西 萍乡

http://www.photocpxx.com

11

65

182.99.246.30

中国 江西 萍乡

http://www.icsc18xx.org

27

66

198.13.97.19

美国 美国

http://www.****xx.org.cn

2

67

199.27.133.117

美国 美国

http://bbs.****xx.cn

8

68

199.27.133.243

美国 美国

http://bbs.****xx.cn

5

69

210.56.51.140

中国 香港

http://www.****xx.org.cn

5

70

212.7.220.16

波兰 波兰

http://bbs.pr****nlixx.com.cn

3

71

212.83.174.81

法国 法国

http://www.****xx.cn

109

72

212.83.185.167

中国 江西 吉安

http://www.****liexx.com

22

73

220.176.150.14

中国 江西 吉安

http://bbs.pr****onlixx.com.cn

2

74

220.179.8.189

中国 安徽 安庆

http://admin.****xx.org.cn

6

75

220.191.36.49

中国 浙江 杭州

http://www.****xx.cn

3

76

221.204.207.149

中国 山西 太原

http://www.****xx.org.cn

5

77

222.180.23.30

中国 重庆 重庆

http://www.****choxx.com.cn

37

78

222.186.26.219

中国 江苏 镇江

http://www.****choxx.com.cn

14

79

222.216.190.167

中国 广西 南宁

http://www.****xx.com

2

80

222.216.190.179

中国 广西 南宁

http://www.****xx.com

2

81

222.216.190.203

中国 广西 南宁

http://www.****xx.com

32

82

222.216.190.215

中国 广西 南宁

http://www.****xx.com

4

83

222.216.190.227

中国 广西 南宁

http://www.****xx.com

2

84

222.216.190.233

中国 广西 南宁

http://www.****xx.com

32

85

223.99.163.243

中国 山东 济南

http://www.***yxx.com

16

86

45.113.253.45

中国 湖南 长沙

http://bbs.printonlixx.com.cn

1

87

45.118.252.80

中国 香港

http://www.****xx.cn

4

88

58.242.208.143

中国 安徽 合肥

http://www.****xx.cn

78

89

60.28.224.73

中国 天津 天津

http://www.****xx.org.cn

31

90

124.248.229.3

中国    香港

http://www.****xx.cn

19

91

61.147.96.23

中国 江苏 扬州

http://www.****xx.cn

61

92

62.210.24.103

法国 法国

http://www.****xx.cn

109

93

62.210.26.175

法国 法国

http://www.****xx.cn

40

94

62.210.26.242

法国 法国

http://www.****xx.org.cn

59

 

2、Websehll样本名称及密码

捕获的webshell样本名称及密码如下表。

我们可以看到webshell的访问者密码的特点,1、简单,有很多的一位密码#、*等。2、很多密码的特征很有意思:比如与个人虚拟身份有关,以qq号为密码;有些密码带有明显的习惯caonima、diaosi、fuck、niyade等;

Websehll文件名

密码

1.asp

#

1.aspx

*

1.php

-12

11m.php

-5

12.php

-7

1234.php

-guige

14.asp

-lov

1ndex.php

0

1zz17.asp

-yijianmei

360.php

0x7a

400.asp

1

404.asp

110

404.php

12345

465456.php

1351

90000.php

2

909.php

QQ24566XX

90sec.php

222

90sec1.php

258688

Ac2.asp;.jpg

4

AchievementsShow.php

511348

Admin_Ta.asp

520

AspCms_Config.asp

555

Codie.asp

574797

Functie.asp

731046538

July_inc.php

7tian

Log.php

86

Mycool.php

8868

ProductList.php

888888

Somnus.asp

890

SqlIn.asp

9527

Thumb.asp

?

a.asp

COLD1

a.aspx

Charset

a.php

Cne123

aboutus.php

FENG

ad_js.php

Pu667W

admin.lnc.php

SSqxyLCg

admin.php

Submit

admin_inc.php

Viper

adminlista.php

XfeIdao

aik.php

Y

articleedit.php

Z

aspcms_conn.asp

a

av.php

a123

backup.php

aaaadmin

***du.asp

abc123

***du.php

admin

bakup.php

ass

ballData.php

b4dboy

bao.php

***du

bbs.****et.cn

byc

bdunion.php

c

bftvp15111.asp;.jpg

caonima

bh.php

cc

c.php

chen

cache.asp

cls

caijiu.asp

cmd

callbackUrl.html

cmd10

candeng.php

cmd25

cattree.php

cmd9

cere.php

cmder

ces.php

cool

checkConn.asp

csk

checkinq.php

css

chongzhi.html

dede

class.php

diaosi

comsent_ajax.php

dxri

config.file.list.php

e7xue

config.inc.php

earl

config.php

easyhost

config_pay_fszo.php

echosmallhe

conn.asp

error

conn.php

fee

connst.asp

fu1686

cookie.helpea.php

fuck

count.php

fuwu

crazy8(1).jpg

g

csk.php

gold

css.asp

good

css.php

guige

da.php

guohui

danqiuData.php

hd

data.php

hec

db.php

hello

dede.php

hkmke

dedevoteinc.php

i0day

diaosi.php,diaosi

in

digg.php

jj

digg_ad.php

july

door.php

k

dsi.php

k9v

dunjie.asp

keio

e7xue.php

key

echo.php

kkkmmm

editor.php

laobiao

en.php

lemon

error.asp

lianxun

fanben.php

lists

feedback.php

long

filter.helpear.php

m

flenk.php

m7lrv

flink_del.php

martin

frt1.php

mb

fszo.php

mm

fucc.php

moon

fuck.php

mybak

fund.lib.php

mycak

get_top.php

nimabi123

gold.asp

niyade

gua.php

omg

guatui.asp

p

guige.php

pa

helen.php

pan123

help.asp

pas

help.php

pass

hkmke.php

php

hongfeng.php

pige

inCahe.php

pop123

inc.asp

py888

inc_caoni.php

q

index.asp

qazwsx

index.php

qiufeng

index_.asp

qq972t

info.php

qx

infoguide.php

red

infor.php

rekcah

install_top.php

resp

ixve.php

rgt

js.php

rmb2014

june.asp;.jpg

s8868

jycpcx.asp;.jpg

sfmb

kefu.php

shenz

keng.php

shezhang

kuilianwei.PhP

sixgod

laobiao.php

slhack

liang.php

sos

list.inc.php

spider

list.php

sqzr

list2.php

sunliu

list_tab.asp

sz

listaction.php

t

log.cer

tag

log.php

task

login.asp

te

login.php

test

long.class.php

tongji

long.php

uest

lpnxz37917.asp;.jpg

un18

lrrpv51331.asp;.jpg

vales

ly.php

wcf

m.php

web

m7lrv.php

wen

main.widget.php

wewin

mcds.php

whirlwind

md5.php

wooyun

modurnlecscache.php

x

moon.php

xf

mp.php

xiaoliang

mu.php

xin

my_js.php

xinsui

mybak.php

xise

mycak.php

xuwl4

myjs.php

xx

myshell.php

xxcc123

mytag_j.php

xxoo_1234

mytag_js.php

xxx

mytag_js.php?aid

yexu

mytagadd.php

yfvip

native1.php

yfy

newfile.php

yijianmei

news.asp

ysh

news.php

yyy

p.php

zhb

pai***dou.aspx

zq787777

pic.asp

zx100

playlist.asp

zybzkz

post.php

 

pzuod68292.asp;.jpg

 

qf.php

 

qingtian.php

 

qwe123.php

 

random3.asp

 

red.asp

 

rom2823.php

 

royal.php

 

safe.php

 

scan_con.asp

 

select_config.php

 

select_ieoft_post.php

 

selecttempletspost.php

 

service.php

 

sfmb.php

 

shell.asp

 

shidui.PHP

 

shijian.php

 

shiyelian.php

 

sho.asp

 

shopex49.php

 

shoulabel.php

 

shv.php

 

size.asp

 

sky.php

 

slhack.php

 

snxv.php

 

spider.php

 

syspayment.php

 

system.php

 

t.php

 

templetssky.php

 

test.php

 

testTime.php

 

top.asp

 

top.php

 

tpl.php

 

uddatasql.php

 

uploadye.php

 

var.php

 

view.php

 

viewnews.php

 

vote_main.php

 

wdir.php

 

web.asp

 

weki.asp

 

weki.php

 

wiki.php

 

wisdom.php

 

wooyun.php

 

wqtmo76524.asp;.jpg

 

x.asp;.html

 

x.php

 

xianf.asp

 

xiaolei.php

 

xinsui.php

 

xm.php

 

xsvip.php

 

xuwn.php

 

yanwenfen.asP

 

ying.php

 

yj.aspx

 

yjh.php

 

you.php

 

ysh.php

 

zappkey&.php

 

zdqd.php

 

zhan.asp

 

zhanghui.aspx

 

zhb.php

 

zhong.PhP

 

zip.php

 

zzz.asp;.jpg

 

 

3、攻击源&C2安全分析

我们对所有攻击来源进行了检测之后发现了数量惊人的有用信息,例如:我们在一个IP为124.248.***.*的服务器上发现存在一个HFS Server,该服务器存在有黑客使用的攻击工具和Webshell样本,应该是攻击者在拿下目标后通过该HFS当中转站进行攻击工具的下载。

通过烽火台提供的威胁情报平台Alice,对于该ip地址我们进行了情报关联,可以看到该ip地址的历史异常:

I]P9]_6O7(}]S)BQDY276CC

2

 

 

 

HFS Server 获取到的黑客工具信息

文件名

文件MD5

32.exe

057daaceacd2dd26e18c1b1d37c08444

360.exe

2da4af50967e752fdb5793b2cebcc847

53389

27b0e6072f6c1a02ef76671396c29ce1

53389.exe

2b6e40a030c6a5745d751fa3210b81c9

DoweiPortTool.exe

0a063e84145e30ab618804d838720db9

jboss

fbc9dd6a5cb1ac4ae44e33b3c865bec5

JBOSS.exe

68c46d06406b169c9f8161802fcd5fde

su

da736125b38093a063e7c59aeb73ae85

Windows_12301.exe

3036fb5b09675ea2005d6596d7fdc4c3

YM1522.exe

5d1c5a6b733497bf8ce5c33736e003e9

yy.war

f277d7e078f3746aa2f8bb6104a242eb

我们检索了其中几个文件的情况。

34

 

 

 

 

攻击来源的检测信息(纰漏两个来源的端口开放信息):我们可以看到部分攻击源开放了代理端口。

56

 

通过获取的信息我们简单锁定了攻击者的qq号等身份信息:

7

 

 

4、受害者分析

通过中转服务器HFS,在日志发现更多受害服务器,以及上传工具的主机IP。上传的IP基本可以确定就是攻击者,下载的IP就是受害者。

这些IP地址可以结合地理位置做分布图

8910

 

 

 

 

 

由于时间及投入问题,关于一些信息的更深入分析还在进行中,本次主要就初步的信息进行总结。

关于通过威胁情报更好的应用在安全防护工作中,守望者的感触如下亮点:

1、针对攻击事件分析中,可以使用外部威胁情报平台来进行深入溯源分析(最早攻击时间、使用了哪些域名、IP、whois中注册的email信息等)

2、威胁情报标准化提供设备机读,增强现有的检测及防护系统发现的能力,把安全隐患消灭在萌芽状态,阻止攻击者进行二次或多次攻击。

 

欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

11

 

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助