Webshell安全检测(3): WeBaCoo网站后门特征分析

围观次数:991 views

流量样本PCAP of the traffic:webacoo.pcap

具体链接:http://www.watcherlab.com/file/download/webacoo.pcap

 

1、概述

      WeBaCoo (Web Backdoor Cookie) script-kit是一个小巧的、隐蔽的php后门,它提供了一个可以连接远程web服务器并执行php代码的终端。WeBaCoo使用HTTP响应头传送命令结果,shell命令经base64编码后隐藏在Cookie头中。

2、WeBaCoo 网络数据流特征

      WeBaCoo 网络数据流分析

41

图1

      通过下图TCP 会话流可看出请求头和响应头的 Cookie, Set-Cookie的数据经过base64编码。

42

图2

      下图经过base 64解码得出 请求头和响应头的 Cookie, Set-Cookie值分别为:

      whoami

      nt authority\system

43

图 3

      通过以上分析,可以清楚看出WeBaCoo 网络数据流特征,攻击者连接WeBaCoo后门程序

执行的whoami命令服务器响应并返回数据。

 

3、WeBaCoo 样本文件特征

文件类型:webacoo.pl

文件大小:40199

MD5值:   57A055D17C73E54DDE921912718E97D0

SHA1值: 84746A9144DB4034DEFD2C558E6E5B954FD64548

SHA256值:56F2C5E0322F193A5C775CDD7171936331209BA085C40AD41E05037864F8929C

WeBaCooh后门程序代码如下:

44

      从代码分析中可以得出 程序在调用generate_backdoor函数时创建php后门, 使用$_COOKIE超全局数组接受cm变量的值,并用base64_decode函数对传递过来的shell命令进行编码。

感谢大家关注“守望者实验室”!

qrcode_for_gh_2f57bf1ba29f_430

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助