老版中国菜刀仍活跃于各大网络入侵中

噬魂  396天前

22.jpg

在近期的多场网络攻击中,有多个参与者都还在使用webshell进行远程管理控制,尽管它已诞生了近十年,且一直没有得到更新(菜刀)。

年龄已到9岁的webshell虽然已经很老(对于网络时代),但活跃度依然不减。有研究人员表示,他们已经在最近的几次网络攻击中发现了这款工具的身影。

Cisco Talos的研究人员Paul Rascagneres和Vanja Svajcer表示,这个名为“中国菜刀”(China Chopper)的工具可让攻击者通过客户端应用程远程控制已经沦陷的web服务器,客户端中包含控制机器所需的所有功能,非常容易使用。

Cisco Talos在过去两年的调查中发现,IIS和Apache等web服务器都受到了中国菜刀的攻击。据该公司称,最初的入侵很可能是通过利用老版本Oracle WebLogic或WordPress中已知的远程代码执行或文件包含漏洞进行的,然后再通过webshell进行持久控制,在目标服务器上执行各种命令,修改敏感软件等等。自从10年前被发明以来,菜刀本身并没有多大的改变。

背景

在Cisco Talos周二发布的一份书面报告中称,中国菜刀为攻击者提供了一个简单的GUI以及对应的webshell,可让他们配置连接,远程控制服务器。这些webshell必须添加到目标网站的网页代码中才能和客户端配合通信,一般是.NET和PHP脚本语言。

中国菜刀客户端使用HTTP POST请求和目标服务器通信。研究人员表示,webshell的唯一功能是解释并执行客户端送发送的指定参数。

除了终端,中国菜刀还包括一个文件管理器(能够创建目录、下载文件和更改文件元数据)、一个数据库管理器和一个基本的漏洞扫描器。

三次攻击

Cisco Talos着重说明了三次具体网络攻击,每个攻击都设计不同的目标、工具和技术,可能是由不同的攻击者进行的。

其中之一是最近针对亚洲政府的间谍活动。“中国菜刀被用于内网攻击,目标是一些存储机密文件的web服务器,”研究人员指出:“攻击者的目的是获取敏感文档和数据库的副本。”

中国菜刀会使用WinRAR自动压缩文档,创建一个使用了大写、小写和特殊字符的强密码所保护的文档。此外,攻击者还使用了其他工具在系统上执行命令,涉及数据库转储。

根据Cisco Talos的说法,在提取文件和数据库转储方面,攻击者只是映射一个本地驱动器并将文件复制到其中,因为目标服务器位于一个内部网络中。

研究人员表示:“攻击者必须先远程访问系统,才能窃取数据。我们已经看到使用HTTP隧道工具在已沦陷的主机和控制服务器之间所创建网络隧道。”

而在最近第二次有关行动中,攻击者袭击了黎巴嫩的一个组织。在那次事件中,一个辅助性公共网站被几个持有不同目的的攻击者使用中国菜刀攻击。

其中还包括部署勒索软件(先是Sodinokibi,然后是Gandcrab),以及挖矿软件。攻击者还试图使用PowerShell得到内存中的登录凭证,以便后续攻击其他机器。此外,一些远程访问工具,如Gh0stRAT和Venom多跳代理都被部署在机器上,还有纯粹用PowerShell编写的远程shell。

最后,Cisco Talos还发现,一家亚洲网络主机提供商在一场利用中国菜刀所进行的长达10个月内的网络攻击中遭受了入侵。而在入侵后,攻击者进行了几起恶意活动。

Rascagneres和Svajcer表示:“通常,攻击者会试图创建一个新用户,然后将该用户添加到具有管理权限的用户组中,这样就可以修改其他敏感文件。而当以上一切都不成功时,他们下载并安装了一个密码窃取工具,由Mimikatz Lite的源码改造而来,名字为GetPassword.exe。”

该工具会分析本地机器的内存信息,以便查找、解密和显示搜索到的用户密码;攻击者还下载了热门手机游戏Clash of Kings的数据库,这款游戏可能托管在一个私人服务器上。

研究人员还在第二台受到攻击的服务器上发现了另一款门罗币挖矿软件。攻击者会试图提权,修改服务器上所有网站的访问控制列表(acl)。这可能另一个网站或另一个网络攻击活动有关。此外,攻击还试图获得登录凭证。

在第四个服务器上,攻击者试图通过提权来修改服务器上的其他对象,添加一个新用户帐户并将该帐户添加到管理组。

接着,攻击者用一个新创建的帐户登录到服务器,并使用了一个免费的工具replacestudio32.exe。它可以轻松地搜索基于文本的文件,并使用另一个字符串进行替换操作”,研究人员表示:“同样,这可能会影响服务器上的所有站点。”

显然,中国菜刀可以被广泛应用于各种网络攻击中——只需要一个脆弱的网站。

“不安全的web应用程序为攻击者提供了一个有效的入侵点,让他们可上传webshell,进行侦察和控制其他系统”,研究人员说:“尽管年代久远,中国菜刀依旧活跃,我们很可能还会在未来的网络攻击中看到它的身影。”

目前使用中国菜刀的攻击者似乎受到Leviathan和Threat group 3390等政府组织的资助,不同技能水平的攻击者都在使用它。

研究人员最后表示:“在中国菜刀问世9年且没有经过大量修改后,攻击者仍在使用它,这足以说明它的成功。而得到如此广泛的认可也意味着,仅凭中国菜刀这一点,尚不能确定攻击者身份。”

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://threatpost.com/china-chopper-tool-multiple-campaigns/147813/

最新评论

昵称
邮箱
提交评论