NO.68 | 2020.06.30
banner
title資訊百科 友善列印>>
【情資案例調查報告】偽造GIF檔案植入惡意Webshell程式

<資通安全組/吳政諺>

一、案例背景說明

  網路安全技術公司Cybereason研究發現,中國駭客組織駭入多家全球電信公司,以盜取特定政治人物、情報人員資料,並以臺灣和香港二地的伺服器當成攻擊跳板以掩人耳目[1]

  駭客主要目標為尋找電信公司網際網路的伺服器漏洞,並執行Webshell程式及偵察指令,藉此蒐集網路資訊並在內網繁殖增生,以竊取儲存於電信公司系統特定目錄的詳細資料,包括用戶姓名、密碼、可辨識的個人資訊、支付資料、通話記錄、憑證、郵件伺服器用戶所在地點等。

  本次分析的樣本為俄羅斯駭客藉由PHP的漏洞上傳偽造GIF(Graphics Interchange Format)檔案的Webshell程式,並從資料庫竊取用戶帳號、密碼。

二、案例研究說明

  經由研究人員針對封包進行分析,駭客使用CVE-2012-1823的PHP漏洞,對網站進行攻擊並植入Webshell。如圖1所示,在封包內可看到參數allow_url_fopen嘗試被駭客設置為ON,而php.ini的設定值allow_url_fopen若為ON,則可遠端載入檔案,該漏洞被稱為Remote file inclusion(RFI),駭客可使用此漏洞直接對目標執行任意指令。
 

 
圖1 使用PHP漏洞對網站進行攻擊並植入Webshell
(資料來源:TTC)
 
  若網站未修補該漏洞,駭客便能將Webshell程式植入並進行惡意活動,如圖2所示。該文件開頭顯示為GIF89a,表示駭客利用Webshell的程式偽裝成GIF(Graphics Interchange Format)檔案,以繞過網站驗證功能僅檢查文件頭(File Header)是否有gif87a或gif89a的標記植入惡意檔案。
 

 
圖2 偽裝成GIF檔案的Webshell程式
(資料來源:TTC)
 
  針對植入網站的Webshell文件分析後發現有英語及俄羅斯語兩個語系,判斷該惡意Webshell為俄羅斯駭客製作,如圖3所示。
 

圖3 Webshell內包含英語及俄羅斯語兩個語系
(資料來源:TTC)
 
  本次分析的Webshell包含的功能,除了下載文件、上傳文件、創建後門外,還能竊取資料庫的資料,如圖4所示。從分析過程中發現,市面上常見的資料庫管理系統皆受到影響,包含MySQL、MSSQL、Oracle、PostgreSQL。
 

圖4 對市面上常見的資料庫進行資料竊取
(資料來源:TTC)
 
三、駭客攻擊流程與手法
  
  圖5為本中心分析整理駭客攻擊流程與方式,攻擊步驟說明如下:
  1. 駭客控制機器人進行攻擊。
  2. 透過漏洞CVE-2012-1823對網站植入Webshell。
  3. 藉由網站驗證功能不完整的情況下,Webshell偽裝成GIF檔案執行惡意行為。
  4. 對資料庫的資料進行竊取、並創建後門。
 

圖5 攻擊流程與方式
(資料來源:TTC)
 
四、Indicators of Compromise(IOCs)資訊

  本章節分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256、IP、SHA1、URL、MD5入侵指標,以利各通傳業者分析情資加強資安防護,詳見表1~3。
 
編號 關聯SHA256
1 D8636C95A7CAFAF7FEA3FB632F1FAAA6B6513899236614361C8CF9FE2BE2853B

表1 WebShell程式關聯SHA256
(資料來源:TTC)
 
編號 關聯IP
1 81.177.140.31
2 172.98.200.202
3 95.216.157.238
4 66.249.69.81
5 54.36.150.74
6 159.69.117.172
7 151.80.39.81
8 159.69.186.191
9 138.201.93.127
10 159.69.188.66
11 66.249.66.49
12 159.69.189.215
13 66.249.75.171
14 66.249.79.127
15 66.249.79.64
16 95.216.157.203
17 40.77.167.28
18 95.216.170.229
19 5.196.87.125
20 54.36.150.64
21 54.36.148.134
22 66.249.65.245
23 54.36.148.189
24 66.249.68.4
25 54.36.148.217
26 66.249.72.11
27 54.36.148.23
28 66.249.75.179
29 54.36.149.17
30 66.249.79.60
31 54.36.149.20
32 66.249.79.69
33 54.36.149.77
34 95.216.157.227
35 54.36.150.104
36 95.216.160.154
37 54.36.150.113
38 95.216.172.190
39 54.36.150.134
40 54.36.150.164
41 210.5.44.105

表2 WebShell程式關聯IP
(資料來源:TTC)
 
編號 關聯URL
1 hxxp://dom-snab.ru
2 hxxp://dom-snab.ru/xmlrpc/r.txt
3 hxxp://193.109.69.219/r.txt
4 hxxp://www.sexrat.net/r.txt
5 hxxp://www.peliontech.com

表3 WebShell程式關聯URL
(資料來源:TTC)
 
五、整體建議與總結

  WebShell是一種常見的網頁後門,常被用來獲取網站的操作權限。駭客入侵網站時,經常使用SQL Injection、XSS等攻擊手法,將惡意程式上傳至伺服器。本次案例則是透過CVE-2012-1823的PHP漏洞植入WebShell,且為避免植入過程中遭攔阻,甚至使用修改文件頭(File Header)的方式偽裝成GIF圖檔,以增強隱蔽性。網站管理者除了須對上傳文件嚴加管理外,弱點修補以及系統版本更新也需定期完成,避免對企業造成重大的資安危害。為避免遭到駭客組織的攻擊,相關單位可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
  1. 確認企業伺服器與系統已修補遠程代碼執行漏洞CVE-2012-1823。
  2. 在php.ini設定檔中,確認allow_url_fopen與allow_url_include皆為off。
  3. getimagesize函數在檢查上傳文件是否為圖像時會有誤判的可能,因此建議使用Fileinfo函數來判斷文件的內容類型和編碼。
  4. 請評估報告中之入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
 


[1]林妍溱, ithome.,取自:https://www.ithome.com.tw/news/131476