盈讯足球比分网|华体足球比分直播|
关注我们
QRcode 邮件联系 QRcode

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 feng  3,943 ℃  0条点评


  ?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

在第一部分中,我们分析了最近的趋势、代码库和探索防御性抑制。第二部分,我们将分析一份由中国程序员编写的webshell。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  在2016年3月26日,记录未来自然语?#28304;?#29702;(NLP)设备发出了Cknife警报。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

背景

  记录未来为Cknife记录的时间线显示其第一次出现是在2015年12月。2016年3月下旬因为Cknife发布了官方开源版本,出现次数明显激增。

  

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

  大量中文论坛公布了一份受其启发编写的webshell代码,向 China Chopper表示敬意。

 

  作者是Chora和MelodyZX ,他们称Cknife是对China Chopper时代的怀念,原话是这样的,“这个工具不是为了取代Chinese kitchen knife,它是一个时代的象征,是不?#21830;?#20195;的。”

 

  他们俩表示创建Cknife并且不断发展的原因是“我们想让它可以在功能上代替Chinese kitchen knife。Chopper是很方便,但是多年以来?#19981;?#25874;了许多问题。我们提取了它的核心功能,并在其中添加了我们自己多年的行业经验。它是跨平台、基于文件配置的Chinese kitchen knife,?#27809;?#21487;以自定义所有操作。”

 

China Chopper历史

  China Chopper是一个巧妙构建的4KB大小的webshell工具,据报告它被用于多个刑事和民族活动中,其中包括美国国防承包商。Webshell工具的第一次公开?#26009;?#26159;在2012年,随后maicaidao[.]com为其标记了来源。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  ReversingLabs已经收集到自2013年以来超过250份不一样的China Chopper样本,这就说明了webshell的普及性。

China Chopper — Cknife的相似之处

  大量的图标(PNG文件)的存储位置都是Cknife-master/src/com/ms509/images/,其SHA1哈希值是main.png is 4c805a9064d3d7d230c6241e63db4fcf7a1a1e15。

 

  谷歌搜索main.png图像的结果中包括2013年开始运行的China Chopper中国网站,和最近才开始进入公众视线的Cknife,具体网址是这些:

?hxxp://www.wmzhe[.]com/soft-32162.html

?hxxp://www.uzzf[.]com/tags_Hopper.html

?hxxp://www.uzzf[.]com/tags_webshell%B9%DC%C0%ED.html

?hxxp://www.uzzf[.]com/key/hackersoft/

?hxxp://m.uzzf[.]com/u/37342

?hxxp://m.uzzf[.]com/u/60389

 

  China Chopper使用的图标和Cknife有着一样的视觉效果(区别就是更清晰一些),但是它们的加密方式是不同的。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

SHA1: 4c805a9064d3d7d230c6241e63db4fcf7a1a1e15

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  SHA1: 4ce780088b93a3e6e6592de9de1d2c2f85012b59

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  从2013年开始至少有78个不一样的 China Chopper 示例使用这个图标。

 

  有趣的是,两位作者使用的都是同样的webshell图标。Chora 和MelodyZX 可能在看到China Chopper图标之前就已经确定了自己的原始图标,或者?#37096;?#33021;是这两位作者本身关系就很好。

 

  China Chopper和Cknife的webshell文件另一个相似之处就是它们都在自己的HTTP POST 响应中使用了特定的 “->|”和“|<-” 字符,不管是Write(“->|”)响应、Write(“|<-”)响应,?#25925;?echo (“->|”)和echo (“|<-”)。

 

  下面这个由ReversingLabs处理的China Chopper图表描绘了2016年3月Cknife开源版本公布之后中文论坛上对其引用的激增。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

作者——Chora和MelodyZX

  Chora和MelodyZX是两个人的网名,背后是(至少部分是)MS509团队,负责创建和发布 Cknife。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  MS509团队最近受邀出席“中国网络安全讲座2016年年会?#20445;?#36825;就意味着他们的研究在中国被默认是合法的。

 

  此外,MelodyZX?#25925;?#38463;里巴巴漏洞披露名单的前50名之一。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

  在原始的Cknife 论文贴中,Chora声明了Cknife功能和使用示例,并特别说明了webshell是为了绕过网页应用防火墙(WAF)而设计的,可以用于Red Team训练。

 

  ?#27426;鳦knife很有可能会被恶意使用,因为Chora不可能不知道开源自定义webshell会带来的影响。

 

  Cknife面板菜单也只有中文模式,这或许是因为目标?#27809;?#21482;是中文?#27809;А?Chora 和MelodyZX 都不断在中文论坛上更新其发展进程,从这?#28034;?#20197;看出他们的目标受众只是中文?#27809;А?/span>

 

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

   这里没有关于Cknife的进一步解释,这使得大家难以捉摸作者动机。从MelodyZX以及Cknife目的意图的已知信息中中可以将其比作两个灰帽。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  Chora编写了Cknife的设计和java编码,而MelodyZX使用SQLite创建了数据库架构。

 

Cknife的内部分析

  Cknife是用java编写的,目的是为了跨平台兼容。Cknife还为本机操作系统渲染设置了较旧的 Swing GUI框架。对于java应用程序客户端来说这是个有趣的选择,因为java开发人员普遍认为Swing不易于使用。

 

  一种解释就是从遗留的应用程序中复制一大段Swing代码可以节约作者大量时间。

 

  Cknife的GitHub自述指令包括原始的java归档(JAR)文件托管在百度的链接(下载zip文件需要密码“f65g?#20445;?#20174;最新版本的GitHub来源中建立Cknife会产生Cknife.jar的更新版本。执行 Cknife Java 存档(sudo java -jar Cknife.jar),结果会显示在 Cknife GUI 面板(客户端)中。用鼠标右键单击主面板中的菜单,会出现一个拥有不同皮肤的子菜单,这里可以看出作者有在努力创建一个功能完善、方便使用的webshell管理工具。

  

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

  最后一个通用菜单指向的是对应的端口、?#27809;?#21517;、密码和代理类型的代理服务器配置的子菜单。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  了解Cknife 客户端和 Ubuntu 14.04 webshell之间基本联系的快速办法就是使用和cus.php web shell文件有着相同本地目录的PHP服务器。

 

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  运行PHP服务器之后,启用 TCPDump 来捕获随后在环回接口上生成的数据包,然后将其保存到一个文件里进行审查。


?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  接下?#35789;?#29992; Cknife 客户端连接到本地 cus.php webshell中。


?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  在配置连接参数之后,URL的?#19968;?#33756;单中有多国语言选项,用于连接到webshell以及枚举网页服务器上的远程文件、连接到远程数据库,和启动远程shell命令行访问。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  在连接到远程 web shell 文件之后, Cknife 客户端将显示一个10秒的 HTTP 状态代码弹出窗口。额外的测试功能需要在一个拥有综合数据库且功能完整的 web 服务器上启动 web shell文件之后?#25293;?#20351;用。

 

  下面是 Cknife Java 客户端和 webshell之间基本连接的1019 字节。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

  Cknife 的?#27809;?#20195;理很引人瞩目,因为客户端的 Java 应用程序相对罕见。像大多数 web shell一样,Cknife 使用 Base64 编码的字符串对HTTP POST 数据传输和储存进?#24515;?#31946;处理。

?分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)

 

结论

  Cknife 是中国一个跨平台兼容的 Java webshell框架 ,操作起来更像是针对web 服务器设计的RAT,其原型是China Chopper。

 

  两位作者, Chora和MelodyZX(MS509团队成员) ,他们自己可能认为自己是白帽,但鉴于其开源 Cknife 一定会被黑帽利用,所以可以认定他们是灰帽。

 

  基于作者的自述,Cknife 开发的动机似乎是想要改善China Chopper性能,后者被尊为一个时代的文化标志。

 

原文地址:

https://www.recordedfuture.com/web-shell-analysis-part-2/

 

本文转载自 https://www.recordedfuture.com/web-shell-analysis-part-2/
原文链接:https://www.recordedfuture.com/web-shell-analysis-part-2/

本文标签:
某个商业定向攻击活动分析
分析勒索软件Cerber的攻击方法
Joy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具One-Lin3r:懒人的福音,渗透测试单行化工具One-Lin3r:懒人的福音,渗透测试单行化工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具国产网站恶意代码监测(网马监控)工具优化版国产网站恶意代码监测(网马监控)工具优化版

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国?#20351;?#20363;, 沙发拿下 . . .


注册帐号  |  忘记密码
盈讯足球比分网
极速赛车开奖官网 3d投注技巧规律吗 好运来计划软件官网 逆袭彩票计划软件APP 黑龙江时时jiq 手机彩票计划软件超稳 pk10免费计划软件安卓 网上玩龙虎的个人经验 彩票九365 3d玩大小规律是多少