流量样本PCAP of the traffic:webacoo.pcap

具体链接：http://www.watcherlab.com/file/download/webacoo.pcap

WeBaCoo (Web Backdoor Cookie) script-kit是一个小巧的、隐蔽的php后门，它提供了一个可以连接远程web服务器并执行php代码的终端。WeBaCoo使用HTTP响应头传送命令结果，shell命令经base64编码后隐藏在Cookie头中。

WeBaCoo 网络数据流分析

图1

通过下图TCP 会话流可看出请求头和响应头的 Cookie, Set-Cookie的数据经过base64编码。

图2

下图经过base 64解码得出请求头和响应头的 Cookie, Set-Cookie值分别为:

whoami ，

nt authority\system

图 3

通过以上分析，可以清楚看出WeBaCoo 网络数据流特征，攻击者连接WeBaCoo后门程序

执行的whoami命令服务器响应并返回数据。

文件类型：webacoo.pl

文件大小：40199

MD5值: 57A055D17C73E54DDE921912718E97D0

SHA1值： 84746A9144DB4034DEFD2C558E6E5B954FD64548

SHA256值：56F2C5E0322F193A5C775CDD7171936331209BA085C40AD41E05037864F8929C

WeBaCooh后门程序代码如下：

从代码分析中可以得出程序在调用generate_backdoor函数时创建php后门，使用$_COOKIE超全局数组接受cm变量的值，并用base64_decode函数对传递过来的shell命令进行编码。

感谢大家关注“守望者实验室”！