起因
对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码
看上去是针对360的,通过360去搜索site网站赌博相关的关键字出现的结果我惊呆了!!!!居然非常多的站被劫持,而且其中包括我渗透测试的不少站,看上去就像360自己控制的排名一样,其实是非法份子利用了360的算法漏洞。通过收录时间发现在2014年开始出现的,也就是说这个问题已经存在了多年之久,至今才暴露出来。
接下来我就开展了所有疑问的调查,因为这些东西被利用对社会影响实在太大,不仅仅我是唯一的受害者,而是这个安全圈子的所有人。
调查
找到幕后团伙
查大马问题
分析团伙的后门特征
1.我对我手里的shell进行了一遍梳理,首先是对后门进行新的地址修改,在原来的后门地址放上了js代码,该段代码记录的是相关指纹信息,以及各大网站的json获取。此时就是静静的等待。
2.我对大马又进行了一遍分析,把所有代码读烂了也没任何问题,同时也对马进行了抓包分析,没有任何外部请求。因为一直没发现问题,所以我特意进行了长达一周的数据包监控,还是没有任何结果。这时候就非常纳闷,既然马没有问题,为什么人家可以获取到我的所有后门?难道是我的电脑被入侵?我的网络环境除了http之外,不能做任何协议请求,而我的后门都保存在这台linux里,这点也可以排除。只好再想想是不是哪里疏忽了。
3.被该团队劫持过的站,我都检查了一遍,之后我发现,每个站的所有文件创建时间都会被他们更新到入侵时间,这刚好符合了特征,也就是刚被他们入侵过的站。
如图特征,几乎每个站被入侵后所有创建时间都会更新一次。
之后对他们自己的后门进行了采集样本,新的进展出现了,一共发现2波不同的团伙,但使用的大马均为一类。(见附件1)
我对他们的马进行了解密审计后发现,他们自己记录大马后门的箱子地址为api.fwqadmin.com,因为有了新的线索,所以只能暂时保存,后面再对这个进行渗透。
进展
经过两天的等待,终于得到了该团伙的指纹信息以及QQ号,然后我就开启大神模式进行社工,之后基本确认此人真实信息(圈内叫老袁)。然后我申请了一个QQ小号,以匿名的方式加了一些博彩导航网站上的qq,在QQ上问了好几个人,都没有结果,后来我干脆以做博彩的名义和他们进行深度沟通,通过沟通发现该团伙的shell都是收购来的,一个月收入几百万人民币,是否真实就不得而知了。目前基本可以确认我的判断错误,老袁就是唯一的线索。
我对被该团伙做劫持的所有站进行了采集,还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵,采集到后门样本,看到里面有个和我类似的大马,但是核心变量结构不一样,我下载回来进行审计抓包同样没问题,后来通过对比特征,发现大马请求的POST参数都是一样的,例如gopwd=密码&godir= ,马都没异常,这时候初步判断是上层网络出现了问题,通过流量提取到大马特征的地址,如果真是这样就太可怕了。
我联系到老袁了,和他进行了一些盘问式的沟通,感觉到他很害怕,他说别搞他,他以前做诈骗的。后来发了一些shell地址给我来讨好我,如下列表,下面是星际团队的:
星际团队是什么鬼?难不成又是做博彩的?通过与老袁进一步沟通后发现,这些shell都是另一个做博彩的,他说是博彩圈子最大的团伙,说实话,我挺兴奋的,发觉这件事越来越有趣了,我倒想看看这是些什么人。
不过现在我的目标还在“老袁”身上,因为我得找到卖他shell的人,经过一番较量之后,我得到到了真相,我也叫他提供了交易证据。此处略去不表,我会放到后面取证部分。
虽说有了shell卖家的联系方式,可是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,还是在大马地址上js json,上面贴了几段字《add me email:xxx@xxx.com I will give you all webshell》让老袁发给让他,以便他主动联系我。
后来他果真访问了几个webshell的地址,我也抓取到了他的真实PC指纹以及代理的指纹以及QQ昵称。之后他主动找到我,问我是不是星际团队的,并说收到我发的邮件了。这时候我就很好奇了,莫非星际团队也找到他了?然后他就来恐吓我,说要抓你们(星际团队),已经调查了星际团队一年了。
这时候我心一想,水真深,查来查去的到底是谁在查谁呢。不过他肯定是瞒不过我的,毕竟我有他卖shell的证据,不过意想不到的是他说:“我背后都是省厅的人,你以为这些shell都是怎么来的?都是在国家机器提取的。”我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp保留日志也是1年,至于批量提取全国网站访问特征拿出来卖这我就不信了,要么就是黑客入侵到了运营商去提取出来的。
经过了一些沟通后,他居然一直说我是星际团队,就把我拉黑了。后来我就主动加他说:“你是河北的吧,我已经有你犯罪证据了。”他就怕了,主动加我认怂,还发了打包好的webshell给我。这时候我又惊呆了,这简直是逆天的节奏,居然有上万个webshell和国内所有cms的后台登录密码,其中包括dedecms discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter php168等几乎是全国所有cms都存在,而且每种的数量去重复都在上万条,我会上传一部分在附件。他说他背后的人的有几十万的discuz后台登录账户密码,我测试了他发我的一些后台,均可以登录,其中信息包括登录的fromhash uid 用户名、密码 、安全问题 、安全答案,而且都是前一天的。
到底是什么东西能记录如此多东西而且还没有一点异常。我看到其中也有我使用过大马的很多站,里面还有上万条webshell,其中有大量我的站,还有大量各种类型的大马和不同密码,看样子并非我一个人受害,我进行特征匹配出来,大概有上百人的大马不同特征。而且他发我的只是很小一部分,叫我给他钱才给我更多。这样一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各种0day,是给国家干的,手里有全国的webshell,如果真是他说的这样,那资源为什么出现在他这里了还拿出来卖?很明显是撒谎怕我查他。我不相信,决定继续调查。
经过几天的分析,这波数据和以前wooyun曝光的出来的九宫格(大家可以回溯一下2013年的http://www.dedebox.com/core/centerxxxxx.php)是一样的,我对当时的数据也进行了打包分析,发现这波shell里面还存在部分的重复数据。而当前这个大马和当时九宫格的登录参数特征基本都是在Spider PHP Shell(SPS-)这款代码的基础上修改的,也就是说除了后门本身,这伙人还通过其他渠道来提取的大量webshell,之后通过webshell去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也还是猜想,因为后台数据里面有些站的确是九宫格重复的,如果是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,就直接提供数据记录以及取证结果,交给警方去完成了。
取证
以下这几个是团伙一(老袁)跳转到的域名:
116305.net
559160.net
618309.net
