疑似某家药企旧官网被黑

我真是友情提示，别弄我行不行。都这么多天了，也没人处理。看给我急的。🐶

Hunt研究人员最近发现了一组JSPSpy网页后门服务器，其中有一个意外的补充：Filebroser，这是开源File Browser文件管理项目的重命名版本。

这种对名称的轻微修改引发了一个问题：这是有意规避检测的尝试，还是仅仅是定制化的副产品。由于它与JSPSpy一起被观察到，这表明它可能在攻击操作中扮演角色——作为持久性机制、文件管理界面或替代访问点。

网页后门通常部署在被入侵的服务器上，但也可能存在于系统管理员使用类似工具进行远程管理的环境中。先进的威胁行为者和网络犯罪分子都依赖这些工具来维持访问、执行命令并提取文件，同时融入正常的网络流量中。

本文将探讨观察到Filebroser的基础设施、其特征以及防御者跟踪JSPSpy及相关活动的检测策略。

JSPSpy：近期服务器观察

JSPSpy是用Java开发的，首次于2013年被观察到，已被多个威胁行为者利用，最近的是Lazarus Group，NowSecure报告称该组织将其用于攻击一个研究机构。

这个网页后门具有远程访问和文件管理的图形界面，使得即使是缺乏经验的操作者也能轻松导航被入侵的网络。

近期JSPSpy服务器基础设施

我们最近对JSPSpy网页后门恶意基础设施的分析识别出四台呈现已知网页标题的服务器，我们稍后将讨论这一点，以帮助防御者追踪这种网络威胁。

这些服务器分布在中国和美国的多个托管提供商，使用混合云服务和传统ISP。

• 中国电信吉林省网络（中国）
• 华为公共云服务技术（中国）
• 中国移动通信集团（中国）
• Multacom Corporation（美国）

大多数服务器在80端口上托管JSPSpy，这可能是为了与合法的HTTP网络流量融合。其中一个位于中国的实例在8888端口上运行。监控这些和其他非标准端口上的网页后门可以帮助识别类似的基础设施。

在这四个服务器中，只有一个（124.235.147[.]90）拥有TLS证书。DigiCert颁发的dgtmeta[.]com证书（SHA-256：EE00EC12B3E3372E60A6FB59A4D3764CC9FA9CB4289FEF1350E4E6CE36CF1FF6）最早在我们2024年9月中旬的扫描中被观察到，截至3月6日仍然有效。

基于上述信息进行延伸分析，我们发现仅有12台服务器共享这个证书；然而，目前我们没有任何迹象表明任何相关IP涉及恶意活动。

在短时间内，learning.gensci-china[.]com解析到124.235.147[.]90，在浏览器中访问时提供JSPSpy登录页面。xChina是位于中国吉林省的一家合法生物制药公司，与网页后门活动没有明显联系。虽然网络入侵是最可能的解释，但其他可能性包括过期或废弃的子域名、托管配置错误或临时恶意重定向。

在分析这些IP地址时，我们在四个服务器中的两个上发现了另一个名为'filebroser'的面向网络的登录面板。

'filebroser'：一个重新命名的文件管理面板

对这些IP地址端口的进一步分析表明，两个已识别的服务器（124.235.147[.]90和74.48.175[.]44）还在8001端口上托管标记为'file browser'的面向网络的登录面板。

该网页与File Browserhttps://github.com/filebrowser/filebrowser项目非常相似，这是一个开源工具，旨在通过基于网络的界面管理文件。这个可疑的页面甚至使用了与合法版本相同的网站图标。

对标题为"登录 - filebroser"的网页进行互联网扫描，结果不到10个，其中没有一个托管额外的JSPSpy实例。"登录"在英文中意为'Login'。这表明filebroser并未广泛部署，可能特定于单个操作者。

虽然尚不清楚该面板是否与开源版本功能相同或已被修改，但其与JSPSpy并置使其值得更仔细的检查。

识别JSPSpy和filebroser活动

如果您一直关注我们的研究，您就会知道我们喜欢寻找检测恶意和经常被滥用框架的方法。无论是发现新的攻击者基础设施还是构建实用的检测查询，目标始终相同——给防御者提供优势。

识别JSPSpy服务器最直接的方法之一是通过其登录页面标题，它一致地显示"JspSpy Codz By-Ninty"。虽然这是一个有用的指标，但不应单独依赖——标题容易被修改，任何拥有文本编辑器的攻击者都可以更改它们以规避检测。

跟踪JSPSpy的一个更可靠的方法是添加一些服务器的HTTP响应头。这些通常包括：

• Server: JSP3/2.0.14
• Ohc-Cache-Hit: 一个随机的五个字符的字母字符串（例如，abcde, xkqyr, lmnav）

对于那些不怕正则表达式的人，像b[a-zA-Z]{5}b这样的模式在大规模搜索时可能会有帮助。

利用与Filebroser的重叠点

除了在少量服务器上观察到的"Login - filebroser"页面标题外，filebroser面板具有与JSPSpy相同的Ohc-Cache-Hit字段。虽然这并不能确认两者之间的直接集成，但重叠提供了另一种细化查询的方法，然后我们才开始追踪。

有效的检测很少关于单一指标——而是将多个弱信号层叠成更强的信号。通过结合HTTP头、响应行为和页面标题等上下文细节，防御者可以提高对JSPSpy部署的可见性，在这种情况下，还包括类似的基于网络的工具。

结论

JSPSpy和像filebroser这样的工具说明了攻击者如何继续依赖网页后门进行持久访问，以最小的噪音融入合法基础设施。filebroser在某些服务器上的存在进一步引发了关于其目的的问题，以及它是否除了JSPSpy外还扮演着操作角色。

网页后门仍然是威胁行为者的首选工具，提供了一种低足迹方法来维持访问和执行入侵后行动。

主动识别和监控这些部署对于理解攻击者行为和检测威胁至关重要。

JSPSpy和Filebroser网络可观测指标和IOC

文章原文：https://hunt.io/blog/jspspy-filebroser-custom-webshell-management