线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

admin

138883
文章

114
评论

2022年7月21日19:27:44评论39 views字数 8608阅读28分41秒阅读模式

守望者团队于近期检测到针对某IDC托管的多个互联网网站的Webshell批量探测攻击事件，虽然大部分的攻击都属于攻击尝试，我们依然获取到了一些攻击信息，本次分析通过纰漏一部分的攻击信息旨在重申互联网安全的重要性。

1、攻击源列表

以下为主要的攻击源地址，其中肯定有部分地址是肉鸡，攻击者通过这些机器来控制webshell，隐藏自身。针对受害者部分信息做了掩码屏蔽。

序号	攻击来源IP	IP所属区域	攻击目标	攻击次数
1	1.202.70.159	中国北京北京	http://www.****monxx.cn	2
2	101.87.147.206	中国上海上海	http://www.***yxx.com	3
3	103.242.2.138	中国香港	http://www.****xx.cn	4
4	106.2.238.23	中国北京北京	http://www.****cxx.com	6
5	106.2.238.30	中国北京北京	http://www.****cxx.com	5
6	108.162.222.202	CLOUDFLARE CLOUDFLARE	http://www.****xx.com	6
7	108.162.222.217	CLOUDFLARE CLOUDFLARE	http://bbs.****xx.cn	2
8	108.162.222.240	CLOUDFLARE CLOUDFLARE	http://www.****xx.com	14
9	111.79.240.240	中国江西赣州	http://www.****xx.org.cn	1
10	112.66.15.6	中国海南海口	http://www.****liexx.com	4
11	112.66.16.4	中国海南海口	http://www.un****ixx.com	328
12	112.66.189.44	中国海南海口	http://www.****xx.cn	159
13	112.67.44.85	中国海南儋州	http://www.****choxx.com.cn	550
14	115.151.206.44	中国江西萍乡	http://www.****xx.cn	9
15	115.151.215.119	中国江西萍乡	http://www.****xx.cn	11
16	115.151.234.112	中国江西萍乡	http://www.****xx.cn	3
17	115.153.167.179	中国江西萍乡	http://www.****xx.cn	19
18	115.159.114.99	中国上海上海	http://www.****xx.org.cn	6
19	115.214.239.59	中国浙江宁波	http://m.huatuoxx.com	1
20	118.184.13.92	中国香港	http://www.****choxx.com.cn	122
21	118.193.144.5	中国香港	http://www.****xx.org.cn	5
22	118.193.155.109	中国香港	http://news.****xx.cn	114
23	118.193.250.40	中国香港	http://admin.****xx.org.cn	4
24	120.26.218.40	中国浙江杭州	http://www.un****ixx.com.cn	61
25	122.193.14.85	中国江苏南京	http://bbs.****lixx.com.cn	4
26	122.228.18.229	中国浙江温州	http://www.****.org.cn	3
27	123.57.37.192	中国北京北京	http://cph***shxx.com	2
28	124.126.153.231	中国北京北京	http://www.****monxx.cn	1
29	124.232.163.27	中国湖南长沙	http://www.****choxx.com.cn	34
30	125.47.161.180	中国河南平顶山	http://www.***yxx.com	30
31	139.203.111.152	中国四川南充	http://www.****xx.org.cn	2
32	14.111.119.29	中国重庆重庆	http://www.****choxx.com.cn	118
33	14.18.253.17	中国广东广州	http://admin.****xx.org.cn	1
34	14.18.253.23	中国广东广州	http://www.****xx.org.cn	1
35	14.18.253.4	中国广东广州	http://www.****xx.cn	1
36	14.18.253.9	中国广东广州	http://admin.****xx.org.cn	3
37	150.129.80.28	中国香港	http://www.****xx.org.cn	3
38	153.36.24.105	中国江苏徐州	http://www.****xx.cn	1
39	158.69.26.8	加拿大加拿大	http://www.****xx.org.cn	9
40	173.245.48.248	美国美国	http://bbs.****xx.cn	2
41	173.245.49.118	美国美国	http://www.****xx.com	24
42	173.245.49.122	美国美国	http://xueqian.****xx.com	15
43	173.245.49.161	美国美国	http://zaojiao.****xx.com	8
44	173.245.49.166	美国美国	http://it.****xx.com	12
45	173.245.49.170	美国美国	http://ysx.****xx.com	13
46	173.245.49.171	美国美国	http://ysdm.****xx.com	15
47	173.245.49.172	美国美国	http://ysdm.****xx.com	22
48	173.245.49.175	美国美国	http://open.****xx.com	12
49	173.245.49.177	美国美国	http://my.****xx.com	10
50	173.245.49.178	美国美国	http://sales.****xx.com	19
51	173.245.49.181	美国美国	http://photo.****xx.com	10
52	173.245.49.186	美国美国	http://daili.****xx.com	31
53	173.245.49.192	美国美国	http://auto.****xx.com	34
54	173.245.49.218	美国美国	http://caiwu.****xx.com	14
55	173.245.49.221	美国美国	http://lesson.****xx.com	5
56	173.245.49.227	美国美国	http://bbs.****xx.com	19
57	173.245.49.229	美国美国	http://kaoji.****xx.com	19
58	173.245.49.236	美国美国	http://itrz.****xx.com	34
59	173.245.49.240	美国美国	http://software.****xx.com	16
60	173.245.62.220	美国美国	http://ysdm.****xx.com	25
61	174.139.82.226	美国美国	http://www.****liexx.com	214
62	175.2.252.237	中国湖南娄底	http://www.****liexx.com	1
63	182.106.193.226	中国江西萍乡	http://www.newsnxx.com.cn	15
64	182.99.234.7	中国江西萍乡	http://www.photocpxx.com	11
65	182.99.246.30	中国江西萍乡	http://www.icsc18xx.org	27
66	198.13.97.19	美国美国	http://www.****xx.org.cn	2
67	199.27.133.117	美国美国	http://bbs.****xx.cn	8
68	199.27.133.243	美国美国	http://bbs.****xx.cn	5
69	210.56.51.140	中国香港	http://www.****xx.org.cn	5
70	212.7.220.16	波兰波兰	http://bbs.pr****nlixx.com.cn	3
71	212.83.174.81	法国法国	http://www.****xx.cn	109
72	212.83.185.167	中国江西吉安	http://www.****liexx.com	22
73	220.176.150.14	中国江西吉安	http://bbs.pr****onlixx.com.cn	2
74	220.179.8.189	中国安徽安庆	http://admin.****xx.org.cn	6
75	220.191.36.49	中国浙江杭州	http://www.****xx.cn	3
76	221.204.207.149	中国山西太原	http://www.****xx.org.cn	5
77	222.180.23.30	中国重庆重庆	http://www.****choxx.com.cn	37
78	222.186.26.219	中国江苏镇江	http://www.****choxx.com.cn	14
79	222.216.190.167	中国广西南宁	http://www.****xx.com	2
80	222.216.190.179	中国广西南宁	http://www.****xx.com	2
81	222.216.190.203	中国广西南宁	http://www.****xx.com	32
82	222.216.190.215	中国广西南宁	http://www.****xx.com	4
83	222.216.190.227	中国广西南宁	http://www.****xx.com	2
84	222.216.190.233	中国广西南宁	http://www.****xx.com	32
85	223.99.163.243	中国山东济南	http://www.***yxx.com	16
86	45.113.253.45	中国湖南长沙	http://bbs.printonlixx.com.cn	1
87	45.118.252.80	中国香港	http://www.****xx.cn	4
88	58.242.208.143	中国安徽合肥	http://www.****xx.cn	78
89	60.28.224.73	中国天津天津	http://www.****xx.org.cn	31
90	124.248.229.3	中国香港	http://www.****xx.cn	19
91	61.147.96.23	中国江苏扬州	http://www.****xx.cn	61
92	62.210.24.103	法国法国	http://www.****xx.cn	109
93	62.210.26.175	法国法国	http://www.****xx.cn	40
94	62.210.26.242	法国法国	http://www.****xx.org.cn	59

2、Webshell样本名称及密码

捕获的webshell样本名称及密码如下表。

我们可以看到webshell的访问者密码的特点：

1、简单，有很多的一位密码#、*等。

2、很多密码的特征很有意思：比如与个人虚拟身份有关，以qq号为密码；

有些密码带有明显的习惯caonima、diaosi、fuck、niyade等；

Websehll文件名	密码
1.asp	#
1.aspx	*
1.php	-12
11m.php	-5
12.php	-7
1234.php	-guige
14.asp	-lov
1ndex.php	0
1zz17.asp	-yijianmei
360.php	0x7a
400.asp	1
404.asp	110
404.php	12345
465456.php	1351
90000.php	2
909.php	QQ24566XX
90sec.php	222
90sec1.php	258688
Ac2.asp;.jpg	4
AchievementsShow.php	511348
Admin_Ta.asp	520
AspCms_Config.asp	555
Codie.asp	574797
Functie.asp	731046538
July_inc.php	7tian
Log.php	86
Mycool.php	8868
ProductList.php	888888
Somnus.asp	890
SqlIn.asp	9527
Thumb.asp	?
a.asp	COLD1
a.aspx	Charset
a.php	Cne123
aboutus.php	FENG
ad_js.php	Pu667W
admin.lnc.php	SSqxyLCg
admin.php	Submit
admin_inc.php	Viper
adminlista.php	XfeIdao
aik.php	Y
articleedit.php	Z
aspcms_conn.asp	a
av.php	a123
backup.php	aaaadmin
***du.asp	abc123
***du.php	admin
bakup.php	ass
ballData.php	b4dboy
bao.php	***du
bbs.****et.cn	byc
bdunion.php	c
bftvp15111.asp;.jpg	caonima
bh.php	cc
c.php	chen
cache.asp	cls
caijiu.asp	cmd
callbackUrl.html	cmd10
candeng.php	cmd25
cattree.php	cmd9
cere.php	cmder
ces.php	cool
checkConn.asp	csk
checkinq.php	css
chongzhi.html	dede
class.php	diaosi
comsent_ajax.php	dxri
config.file.list.php	e7xue
config.inc.php	earl
config.php	easyhost
config_pay_fszo.php	echosmallhe
conn.asp	error
conn.php	fee
connst.asp	fu1686
cookie.helpea.php	fuck
count.php	fuwu
crazy8(1).jpg	g
csk.php	gold
css.asp	good
css.php	guige
da.php	guohui
danqiuData.php	hd
data.php	hec
db.php	hello
dede.php	hkmke
dedevoteinc.php	i0day
diaosi.php,diaosi	in
digg.php	jj
digg_ad.php	july
door.php	k
dsi.php	k9v
dunjie.asp	keio
e7xue.php	key
echo.php	kkkmmm
editor.php	laobiao
en.php	lemon
error.asp	lianxun
fanben.php	lists
feedback.php	long
filter.helpear.php	m
flenk.php	m7lrv
flink_del.php	martin
frt1.php	mb
fszo.php	mm
fucc.php	moon
fuck.php	mybak
fund.lib.php	mycak
get_top.php	nimabi123
gold.asp	niyade
gua.php	omg
guatui.asp	p
guige.php	pa
helen.php	pan123
help.asp	pas
help.php	pass
hkmke.php	php
hongfeng.php	pige
inCahe.php	pop123
inc.asp	py888
inc_caoni.php	q
index.asp	qazwsx
index.php	qiufeng
index_.asp	qq972t
info.php	qx
infoguide.php	red
infor.php	rekcah
install_top.php	resp
ixve.php	rgt
js.php	rmb2014
june.asp;.jpg	s8868
jycpcx.asp;.jpg	sfmb
kefu.php	shenz
keng.php	shezhang
kuilianwei.PhP	sixgod
laobiao.php	slhack
liang.php	sos
list.inc.php	spider
list.php	sqzr
list2.php	sunliu
list_tab.asp	sz
listaction.php	t
log.cer	tag
log.php	task
login.asp	te
login.php	test
long.class.php	tongji
long.php	uest
lpnxz37917.asp;.jpg	un18
lrrpv51331.asp;.jpg	vales
ly.php	wcf
m.php	web
m7lrv.php	wen
main.widget.php	wewin
mcds.php	whirlwind
md5.php	wooyun
modurnlecscache.php	x
moon.php	xf
mp.php	xiaoliang
mu.php	xin
my_js.php	xinsui
mybak.php	xise
mycak.php	xuwl4
myjs.php	xx
myshell.php	xxcc123
mytag_j.php	xxoo_1234
mytag_js.php	xxx
mytag_js.php?aid	yexu
mytagadd.php	yfvip
native1.php	yfy
newfile.php	yijianmei
news.asp	ysh
news.php	yyy
p.php	zhb
pai***dou.aspx	zq787777
pic.asp	zx100
playlist.asp	zybzkz
post.php
pzuod68292.asp;.jpg
qf.php
qingtian.php
qwe123.php
random3.asp
red.asp
rom2823.php
royal.php
safe.php
scan_con.asp
select_config.php
select_ieoft_post.php
selecttempletspost.php
service.php
sfmb.php
shell.asp
shidui.PHP
shijian.php
shiyelian.php
sho.asp
shopex49.php
shoulabel.php
shv.php
size.asp
sky.php
slhack.php
snxv.php
spider.php
syspayment.php
system.php
t.php
templetssky.php
test.php
testTime.php
top.asp
top.php
tpl.php
uddatasql.php
uploadye.php
var.php
view.php
viewnews.php
vote_main.php
wdir.php
web.asp
weki.asp
weki.php
wiki.php
wisdom.php
wooyun.php
wqtmo76524.asp;.jpg
x.asp;.html
x.php
xianf.asp
xiaolei.php
xinsui.php
xm.php
xsvip.php
xuwn.php
yanwenfen.asP
ying.php
yj.aspx
yjh.php
you.php
ysh.php
zappkey&.php
zdqd.php
zhan.asp
zhanghui.aspx
zhb.php
zhong.PhP
zip.php
zzz.asp;.jpg

3、攻击源&C2安全分析

我们对所有攻击来源进行了检测之后发现了数量惊人的有用信息，例如：我们在一个IP为124.248.***.*的服务器上发现存在一个HFS Server，该服务器存在有黑客使用的攻击工具和Webshell样本，应该是攻击者在拿下目标后通过该HFS当中转站进行攻击工具的下载。

通过烽火台提供的威胁情报平台Alice，对于该ip地址我们进行了情报关联，可以看到该ip地址的历史异常：

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

HFS Server 获取到的黑客工具信息

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

我们检索了其中几个文件的情况

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

攻击来源的检测信息（纰漏两个来源的端口开放信息）：我们可以看到部分攻击源开放了代理端口。

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

通过获取的信息我们简单锁定了攻击者的qq号等身份信息：

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析
4、受害者分析

通过中转服务器HFS，在日志发现更多受害服务器，以及上传工具的主机IP。上传的IP基本可以确定就是攻击者，下载的IP就是受害者。

这些IP地址可以结合地理位置做分布图

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

由于时间及投入问题，关于一些信息的更深入分析还在进行中，本次主要就初步的信息进行总结。

关于通过威胁情报更好的应用在安全防护工作中，守望者的感触如下亮点：

1､针对攻击事件分析中，可以使用外部威胁情报平台来进行深入溯源分析（最早攻击时间、使用了哪些域名、IP、whois中注册的email信息等）

2､威胁情报标准化提供设备机读，增强现有的检测及防护系统发现的能力，把安全隐患消灭在萌芽状态，阻止攻击者进行二次或多次攻击。

欢迎关注守望者实验室，我们会不定期推出一些安全场景分析技术类文章。

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

原文始发于微信公众号（守望者实验室）：线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析

对抗性机器学习-攻击和缓解的分类和术语（三）

记一次带学员渗透母校

Nosql注入学习记录

SQL注入漏洞实战

基于K8s日志审计实现攻击行为检测

Dr4g0n b4ll_1

XSS目前Web中的另类利用场景和绕Waf的Payload分享|挖洞技巧

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

发表评论

在线咨询

微信