關注我們
QRcode 郵件聯系

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 feng  5,008 ℃  0條點評


  ?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

在第一部分中,我們分析了最近的趨勢、代碼庫和探索防御性抑制。第二部分,我們將分析一份由中國程序員編寫的webshell。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  在2016年3月26日,記錄未來自然語言處理(NLP)設備發出了Cknife警報。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

背景

  記錄未來為Cknife記錄的時間線顯示其第一次出現是在2015年12月。2016年3月下旬因為Cknife發布了官方開源版本,出現次數明顯激增。

  

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

  大量中文論壇公布了一份受其啟發編寫的webshell代碼,向 China Chopper表示敬意。

 

  作者是Chora和MelodyZX ,他們稱Cknife是對China Chopper時代的懷念,原話是這樣的,“這個工具不是為了取代Chinese kitchen knife,它是一個時代的象征,是不可替代的?!?/span>

 

  他們倆表示創建Cknife并且不斷發展的原因是“我們想讓它可以在功能上代替Chinese kitchen knife。Chopper是很方便,但是多年以來也積攢了許多問題。我們提取了它的核心功能,并在其中添加了我們自己多年的行業經驗。它是跨平臺、基于文件配置的Chinese kitchen knife,用戶可以自定義所有操作?!?/span>

 

China Chopper歷史

  China Chopper是一個巧妙構建的4KB大小的webshell工具,據報告它被用于多個刑事和民族活動中,其中包括美國國防承包商。Webshell工具的第一次公開亮相是在2012年,隨后maicaidao[.]com為其標記了來源。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  ReversingLabs已經收集到自2013年以來超過250份不一樣的China Chopper樣本,這就說明了webshell的普及性。

China Chopper — Cknife的相似之處

  大量的圖標(PNG文件)的存儲位置都是Cknife-master/src/com/ms509/images/,其SHA1哈希值是main.png is 4c805a9064d3d7d230c6241e63db4fcf7a1a1e15。

 

  谷歌搜索main.png圖像的結果中包括2013年開始運行的China Chopper中國網站,和最近才開始進入公眾視線的Cknife,具體網址是這些:

?hxxp://www.wmzhe[.]com/soft-32162.html

?hxxp://www.uzzf[.]com/tags_Hopper.html

?hxxp://www.uzzf[.]com/tags_webshell%B9%DC%C0%ED.html

?hxxp://www.uzzf[.]com/key/hackersoft/

?hxxp://m.uzzf[.]com/u/37342

?hxxp://m.uzzf[.]com/u/60389

 

  China Chopper使用的圖標和Cknife有著一樣的視覺效果(區別就是更清晰一些),但是它們的加密方式是不同的。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

SHA1: 4c805a9064d3d7d230c6241e63db4fcf7a1a1e15

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  SHA1: 4ce780088b93a3e6e6592de9de1d2c2f85012b59

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  從2013年開始至少有78個不一樣的 China Chopper 示例使用這個圖標。

 

  有趣的是,兩位作者使用的都是同樣的webshell圖標。Chora 和MelodyZX 可能在看到China Chopper圖標之前就已經確定了自己的原始圖標,或者也可能是這兩位作者本身關系就很好。

 

  China Chopper和Cknife的webshell文件另一個相似之處就是它們都在自己的HTTP POST 響應中使用了特定的 “->|”和“|<-” 字符,不管是Write(“->|”)響應、Write(“|<-”)響應,還是 echo (“->|”)和echo (“|<-”)。

 

  下面這個由ReversingLabs處理的China Chopper圖表描繪了2016年3月Cknife開源版本公布之后中文論壇上對其引用的激增。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

作者——Chora和MelodyZX

  Chora和MelodyZX是兩個人的網名,背后是(至少部分是)MS509團隊,負責創建和發布 Cknife。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  MS509團隊最近受邀出席“中國網絡安全講座2016年年會”,這就意味著他們的研究在中國被默認是合法的。

 

  此外,MelodyZX還是阿里巴巴漏洞披露名單的前50名之一。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

  在原始的Cknife 論文貼中,Chora聲明了Cknife功能和使用示例,并特別說明了webshell是為了繞過網頁應用防火墻(WAF)而設計的,可以用于Red Team訓練。

 

  然而Cknife很有可能會被惡意使用,因為Chora不可能不知道開源自定義webshell會帶來的影響。

 

  Cknife面板菜單也只有中文模式,這或許是因為目標用戶只是中文用戶。 Chora 和MelodyZX 都不斷在中文論壇上更新其發展進程,從這就可以看出他們的目標受眾只是中文用戶。

 

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

   這里沒有關于Cknife的進一步解釋,這使得大家難以捉摸作者動機。從MelodyZX以及Cknife目的意圖的已知信息中中可以將其比作兩個灰帽。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  Chora編寫了Cknife的設計和java編碼,而MelodyZX使用SQLite創建了數據庫架構。

 

Cknife的內部分析

  Cknife是用java編寫的,目的是為了跨平臺兼容。Cknife還為本機操作系統渲染設置了較舊的 Swing GUI框架。對于java應用程序客戶端來說這是個有趣的選擇,因為java開發人員普遍認為Swing不易于使用。

 

  一種解釋就是從遺留的應用程序中復制一大段Swing代碼可以節約作者大量時間。

 

  Cknife的GitHub自述指令包括原始的java歸檔(JAR)文件托管在百度的鏈接(下載zip文件需要密碼“f65g”)。從最新版本的GitHub來源中建立Cknife會產生Cknife.jar的更新版本。執行 Cknife Java 存檔(sudo java -jar Cknife.jar),結果會顯示在 Cknife GUI 面板(客戶端)中。用鼠標右鍵單擊主面板中的菜單,會出現一個擁有不同皮膚的子菜單,這里可以看出作者有在努力創建一個功能完善、方便使用的webshell管理工具。

  

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

  最后一個通用菜單指向的是對應的端口、用戶名、密碼和代理類型的代理服務器配置的子菜單。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  了解Cknife 客戶端和 Ubuntu 14.04 webshell之間基本聯系的快速辦法就是使用和cus.php web shell文件有著相同本地目錄的PHP服務器。

 

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  運行PHP服務器之后,啟用 TCPDump 來捕獲隨后在環回接口上生成的數據包,然后將其保存到一個文件里進行審查。


?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  接下來使用 Cknife 客戶端連接到本地 cus.php webshell中。


?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  在配置連接參數之后,URL的右擊菜單中有多國語言選項,用于連接到webshell以及枚舉網頁服務器上的遠程文件、連接到遠程數據庫,和啟動遠程shell命令行訪問。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  在連接到遠程 web shell 文件之后, Cknife 客戶端將顯示一個10秒的 HTTP 狀態代碼彈出窗口。額外的測試功能需要在一個擁有綜合數據庫且功能完整的 web 服務器上啟動 web shell文件之后才能使用。

 

  下面是 Cknife Java 客戶端和 webshell之間基本連接的1019 字節。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

  Cknife 的用戶代理很引人矚目,因為客戶端的 Java 應用程序相對罕見。像大多數 web shell一樣,Cknife 使用 Base64 編碼的字符串對HTTP POST 數據傳輸和儲存進行模糊處理。

?分析Cknife,一個類似China Chopper的webshell管理工具(第二部分)

 

結論

  Cknife 是中國一個跨平臺兼容的 Java webshell框架 ,操作起來更像是針對web 服務器設計的RAT,其原型是China Chopper。

 

  兩位作者, Chora和MelodyZX(MS509團隊成員) ,他們自己可能認為自己是白帽,但鑒于其開源 Cknife 一定會被黑帽利用,所以可以認定他們是灰帽。

 

  基于作者的自述,Cknife 開發的動機似乎是想要改善China Chopper性能,后者被尊為一個時代的文化標志。

 

原文地址:

https://www.recordedfuture.com/web-shell-analysis-part-2/

 

本文轉載自 https://www.recordedfuture.com/web-shell-analysis-part-2/
原文鏈接:https://www.recordedfuture.com/web-shell-analysis-part-2/

本文標簽:、
某個商業定向攻擊活動分析
分析勒索軟件Cerber的攻擊方法
Joy:一款用于捕獲和分析網絡內部流量數據的工具Joy:一款用于捕獲和分析網絡內部流量數據的工具One-Lin3r:懶人的福音,滲透測試單行化工具One-Lin3r:懶人的福音,滲透測試單行化工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具國產網站惡意代碼監測(網馬監控)工具優化版國產網站惡意代碼監測(網馬監控)工具優化版

已有0條評論,歡迎點評!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

國際慣例, 沙發拿下 . . .


河北家乡麻将下载 818彩票手机app 时时彩平台赚钱 qq天津麻将手机版下载 神来至尊麻将官网 k彩平台等级代理 网赌输了千万别想翻本 吉林快三口诀 江苏11选五前三组选遗漏 2019年心水一点必中特 哈尔滨哪里有卖自动麻将机的 网上棋牌赌博送10元 福建麻将怎么胡 四川体彩金7乐玩法 陕西快乐十分走势 北京11选五每天多少期 现金棋牌下载app送18