针对国外黑客M3QD4D的分析报告(上)
最近很多国外的关于中国对外渗透攻击的报告,诬蔑我国。在此背景下,我们团队也自己做了一份报告。虽然内容不是很详实,不是很专业,但是这也是第一份国内组织对外国骇客的分析报告。
我们要用这份报告告诉世界:
China is the Most Serious Victim Countries by Hacker Attacking
报告共有20页,是针对伊朗官方(尚无定论)黑客培养平台Ashiyane中的核心黑客成员M3QD4D的分析。报告虽然没有卡巴斯基那90多页的扯淡多,但是也绝对是有理有据。
正文
1) 中国是黑客攻击的最大受害国
近年来,西方国家出于多种目的不断大肆的宣扬中国黑客威胁论,有些可笑的外国媒体甚至以某某攻击是来自中国的ip作为证据。暂且不说这些“证据”的真实性,仅说如果拿ip 地址作为入侵的唯一证据,这个指控最终一定会因证据不足而驳回的。原因很简单,在西方国家制造“中国黑客威胁论”以前一些比较基础的计算机书籍就会提到攻击跳板,顾名思义也就是黑客防止别人发现自己真实地址的代理ip。
我们使用批判性思维来设想一下:假如中国黑客威胁论成立,那么中国黑客的技术水平已经达到了一定的高度,进而可以推断使用代理、跳板等来隐藏自己真实地址的基本技术可以游刃有余,我们最终有理由相信中国黑客会使用不被怀疑的ip进行网络攻击,换句话说,中国黑客威胁论成立则中国黑客不会笨到一直使用本国的ip来惹人怀疑,攻击来自中国的ip并不能逆推出中国黑客威胁世界网络安全。
无论如何,始终无法改变一个不争的事实:中国一直都是黑客攻击的最大受害国。 中国在互联网安全方面的整体一直都是很脆弱的,教育的差距导致了中国互联网安全的发展任重而道远。从事安全工作的技术人员经常会发现一些政府站点、教育站点上面几乎成了“跑马场”,后门、暗链、挂马、钓鱼几乎遍布整个网站,尤其还时不时的遭到海外黑客的涂鸦。
一些海外“惯犯”也越来越被大家熟识,如印度尼西亚臭名昭著的Hmei7,土耳其的商业黑客团伙1923Turk等等。2010年的时候,习科道展团队曾经结识了一位来自科威特的黑客,他是阿拉伯顶尖黑客团队v4 team的核心成员。我们翻到了当年的聊天记录:
2010/3/13 2:57:40 v4 team -- Silic Security : where are you from ?>? 2010/3/13 2:57:46 Silic Security -- v4 team : China 2010/3/13 2:58:04 v4 team -- Silic Security : i hacked many gov,cn 2010/3/13 2:58:07 v4 team -- Silic Security : sites 2010/3/13 2:58:22 v4 team -- Silic Security : you have bad security 2010/3/13 2:58:49 Silic Security -- v4 team : yes...but... 2010/3/13 2:59:20 v4 team -- Silic Security : yeah worst security in the world 2010/3/13 3:00:07 Silic Security -- v4 team : well,i know... 2010/3/13 3:00:23 v4 team -- Silic Security : no security ; ) 2010/3/13 3:00:38 v4 team -- Silic Security : i never heared about
以上信息来自与[email protected]的MSN聊天记录(节选,人物名称有删改)
当然,这些信息并不是本篇分析报告的内容,引言中的内容与本报告所针对的主角:M3QD4D 并无太大的联系。
1.1 入侵统计
M3QD4D从2010年就开始对中国的gov.cn域名站点进行入侵,下面是我们做出的统计:
2010年9月:7个 gov.cn 站点 2010年10月:2个 gov.cn站点 2012年4月:90个gov.cn站点 2012年5月:12个gov.cn站点 2012年6月:14个gov.cn站点 2012年7月:82个gov.cn站点 2012年8月:43个gov.cn站点 2012年12月:31个gov.cn站点 2013年1月:17个 gov.tw站点和1个gov.cn 2013年2月:2个gov.cn站点 2013年3月:4个gov.cn站点 2013年4月:8个gov.cn站点
*仅2012年4月22日一天M3QD4D便入侵了57个 gov.cn 站点
从上面的统计来看,或许不太直观,如果我们将没有入侵的月份按0来统计,将上面的数据按月份做成折线,会是什么效果呢?
*从2010年9月到2012年4月 从图中我们可以看到两个“山峰”,处于这两个山峰时期中是M3QD4D这个黑客入侵网站数量最多的月份。因此我们可以试着推断一下M3QD4D的职业:大学生?教师?
2) 入侵手法分析
2.1 截获木马
我们的第一份木马样本是从www.xjjh.gov.cn上面截获的。
M3QD4D首先上传了一个涂鸦页面,文件创建时间是:2013-4-20 21:21:04(北京时区),
页面的内容如下:
虽然这个页面并没有挂马或者有恶意代码存在,并且也没有表示恶意,但是接下来,我们团队对这个站点的文件进行了扫描。发现了几处可疑的文件,分别是:
/3000.aspx /Photo/ShwPhotoo.aspx /FCKeditor/editor/_source/classes/faidu.aspx
其中一个文件的目录位于FCKeditor目录,还有一个文件位于photo目录,创建时间分
别是2013-4-19 0:44:10,2013-4-19 9:08:28和2013-4-19 22:05:40(都是北京时间),我们暂
时并不能通过文件所在的路径就对网站被入侵的原因做定性结论,因为我们还需要继续分析
下去。
我们下面来瞧瞧这两个文件的代码,这是3000.aspx:
我们确定这是黑客使用的Webshell后门脚本,黑客使用的后门密码进行MD5加密以后是02aae3e6c45bb7510dbe143d19461281,我们到谷歌上面搜索一下这串字符,得到的第一个结果打开后:
解密后得到密码的明文是emper,经过对比,文件/Photo/ShwPhotoo.aspx与3000.aspx代码一模一样,因此可以确定这两个文件是同一个黑客留下的。
与之不同的是/FCKeditor/editor/_source/classes/faidu.aspx 这个文件和3000.aspx近乎相同,但是密码却是不同的。faidu.aspx 这个后门的密码是:8aacd8d7d609b0d7816ae31c6ade65b7,通过从网上收集md5的网站中查询得知这个md5的明文是:3204416
2.2 Web入侵案例分析I
网站服务器是有Web日志可以查看的。以3000.aspx为线索进行查看:
首先我们在3月19日的Web日志中锁定3000.aspx这个文件的访问记录,在2053行中
有如下信息:
2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0
查询了2.145.51.185这个ip 地址,地址显示为伊朗注册的ip,访问者使用的是Win7系统,而浏览器使用的是火狐引擎。我们暂且不提这个ip 是代理ip 还是这位黑客自己真实的ip,因为这位黑客先生肯定用这个ip 访问了不止这一个页面。不过我们在3月18日的日志中搜索3000.aspx还发现了一个伊朗的
ip: 80 - 2.145.67.186 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200
查阅网上的资料后,2.145.67.186仍然是来自伊朗的,这个ip 比2.145.51.185出现的还早,那么我们就以这个ip 为线索,看一下能不能找到这位黑客先生的入侵路线。
*以下日志全部节选自2013年4月18日记录/W3SVC1/ex130418.log
(日志略)
上面的日志可能从文档中直接看会显得很乱,这没有关系,我们可以逐步分析他的入侵动作。先来看他的第一步:
16:24:59 GET /admin/login.aspx 16:27:18 POST /admin/login.aspx 16:29:25 POST /admin/login.aspx 16:31:05 GET /admin/FCKeditor/ 404
在18号日志的16时24分之前,我们并没有发现来自2.145.67.186这个ip 的访问,在16:24:59直接对后台进行访问,也就是说这个后台地址可能直接从搜索引擎中跳转过来的。
回到前台,在主页的最底部我们也发现了后台登陆入口的连接,如图:
以“工作人员入口”为标识,网站没有设置robots.txt 这个文件,因此Google、Baidu等搜索引擎很容易就会将这个/admin/login.aspx路径收录进去。那么这些Google Hacker也就很轻松发现这个地方了。
我们发现这名黑客POST提交数据之后,继续访问/admin目录的路径并不是HTTP 200,而是HTTP 404未找到,也就是说他猜了密码但是没猜对。看到了FCKeditor的路径,我们就知道他下一步想干什么了。
16:32:03 GET /FCKeditor/ 403 16:35:47 GET /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx Command=GetFoldersAndFiles&Type=File&CurrentFolder=/ 16:36:41 POST /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx Command=FileUpload&Type=File&CurrentFolder=/ 16:36:42 GET /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx Command=GetFoldersAndFiles&Type=File&CurrentFolder=/ 16:37:10 GET /UserFiles/File/config.cer
我们这里节选的代码并不是完整的过程,把不必要的环节我们给去掉了,看一下关键的
几个步骤,首先是GET一个地址,这个文件的路径在:
/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx
我们访问这个地址看一看:
FCKeditor的这个文件几乎相当于完整的后门了。这样也就明白config.cer是怎么出现的了。直接通过向connector.aspx进行特定GET参数的POST,就可以将这个config.cer上传至服务器。而cer,asa在IIS中都可以被作为asp脚本来解析的。我们继续看日志:
GET /UserFiles/File/config.cer raiz=E:\xjjh_web\UserFiles POST /UserFiles/File/config.cer action=upload&processupload=yes&path=E:|xjjh_web|
这两条记录中,我们将第一条记录中的变量名raiz进行了加粗处理,而第二条记录中的加粗内容是一个路径,主要目的并不是突出这个路径,而是突出这个路径中的“|”,综合上面两条特征,我们可以确定这名黑客使用的是土耳其黑客团队Pouya出品的Smart.Shell 1.0。
16:43:52 GET /UserFiles/File/config.cer action=upload&path=E:|xjjh_web| 16:44:10 POST /UserFiles/File/config.cer action=upload&processupload=yes&path=E:|xjjh_web| 16:44:19 GET /UserFiles/File/config.cer raiz=E:\xjjh_web 16:44:25 GET /3000.aspx
最后我们看到这里,就可以确定3000.aspx的来源了。继续往下看3月18日的日志:
21:37:36 POST /3000.aspx WebSiteID=1 - 2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 21:39:16 GET /m3.htm - 2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 304 21:39:16 GET /m3.htm - 2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 21:39:21 GET /m3.htm - 2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200
这一部分记录在日志文件大概16万行左右。看上面加粗的两个要点部分,第一个是时间,相差1分40秒,第二个是访问状态,先是HTTP 304然后才是HTTP 200,这两点足以确定上传m3.htm的人就是使用3000.aspx 的黑客,而上传3000.aspx 的黑客就是入侵这个www.xjjh.gov.cn网站的黑客,而M3QD4D就是入侵了这个gov.cn站点的黑客,证据确凿。
(未完待续)