针对国外黑客M3QD4D的分析报告(下)

Darksn0w 2013-06-03 138284人围观 ,发现 8 个不明物体 其他

上集链接

2.3 Web入侵案例分析II 

我们于2013年4月21日在另一个gov.cn的站点上发现了另外一个M3QD4D留下的黑页。这个黑页的地址是:http://www.ajj.zjg.gov.cn/zjg/m3.html,下面是我们调取到这个站点上的信息: 

首先我们看到这个页面的创建时间应该是:2013-04-19,09:07:00,其次我们看到一个比较惹人注意的文件夹就是fckeditor 文件夹,因此首先我们就怀疑是FCKeditor的漏洞导致的入侵。翻看FCKeditor设置文件中配置的上传路径,我们可以看到如图所示: 

3000.aspx与前面的www.xjjh.gov.cn中截获的脚本代码一模一样,另外我们发现teste.txt的代码也是属名为“M3QD4D”,并且创建时间2013-3-8  18:29远远早于3000.aspx,因此有理由怀疑M3QD4D在3 月8 日或者更早的时间,利用FCKeditor 的漏洞入侵了www.ajj.zjg.gov.cn这个网站。 
 
2.4 Web入侵案例分析III 
前面发现的两个入侵案例都是基于FCKeditor网站编辑器漏洞的入侵,我们于近期发现M3QD4D使用了新的入侵手法,同样是网站编辑器,这次是利用了Ckeditor和Ckfinder编辑器的漏洞。 
被入侵的同样也是一个以gov.cn结尾的网站:www.jiningrsks.gov.cn,通过对该服务器上的日志文件进行关键字筛选,很快就找到了M3QD4D的入侵痕迹,该服务器为Windows系统,使用的Web容器为IIS6,发现入侵痕迹的日志文件是在服务器的日志目录当中(C:\WINDOWS\system32\LogFiles\W3SVC732319451)的ex130506.log文件。因此可以确定入侵过程发生在北京时间5月6日,下面我们来看一下日志的具体内容。 

ex130506.log共有200万条日志记录,我们选取了当中有价值的164条记录进行分析。
我们有理由相信M3QD4D的入侵是从08:03:41开始的: 

2013-05-06  08:03:41  W3SVC732319451  192.168.1.10  GET  /ckeditor/userfiles/files/  -  80 - 
2.145.86.141 Mozilla/5.0+(Windows+NT+6.2;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 0 0 
2013-05-06  08:04:54  W3SVC732319451  192.168.1.10  GET  /ckeditor/editor/fckeditor.html - 80 - 
2.145.86.141 Mozilla/5.0+(Windows+NT+6.2;+rv:20.0)+Gecko/20100101+Firefox/20.0 404 0 3

我们查阅了相关资料,发现ckeditor和fckeditor 的默认上传目录都是/userfiles,因此我们猜测M3QD4D应该是以  gov.cn  inurl:/userfiles 这类的关键字搜索入侵目标。因为www.jiningrsks.gov.cn  服务器存在无索引目录历遍文件的问题,所以M3QD4D在08:03到08:11分以前,访问了ckeditor的大部分目录。而后M3QD4D使用ckeditor执行了大量的文件操作命令,最终成功将Webshell后门上传到服务器: 

下面是日志记录的截图: 

关键部分已经标注出来了:使用ckeditor的上传命令上传一个webshell到网站目录,然后使用GetFiles命令确认是否上传成功,最后将webshell重命名为T23.asp;.txt,这个文件名在IIS 6.0 环境下会被正常解析为ASP脚本执行的,所以我们继续看M3QD4D接下来的动作。 

我们依据上面日志获得了一部分M3QD4D使用的asp的webshell后门的特征,如变量raiz,路径中用“|”作为路径分隔符,推断M3QD4d使用的是土耳其黑客的pouya webshell。
这个webshell常被西亚以及土耳其黑客用在IIS  6.0 文件名分号解析漏洞中,但是这个webshell并没有密码验证功能,因此,我们在最后又看到了M3QD4D上传了一个惯用的3000.aspx后门程序。 

至此,M3QD4D又完成了一次针对中国政府网站的入侵,前后耗时仅半个小时。 

3) M3QD4D这个人 
 
3.1 通过搜索 

M3QD4D在www.xjjh.gov.cn/m3.htm留下的涂鸦中写上了自己的邮箱地址,中间有8个下划线:LoRD_________CraCk@att.Net,然而我们翻到了M3QD4D以往的涂鸦,发现了另外的一个邮箱M.e.G.h.D.a.D@att.Net。 

这个地址是从他2010年的涂鸦中发现的。不过我们通过搜索,还发现了一个黑客先生使用的邮箱: 

这个地址也是在一个gov.cn 的站点上面,M3QD4D在上面注册了一个名为Hacked  by M3QD4D的会员,但是这次留下的邮箱是m3qd4d@yahoo.com,这是这个注册会员的个人

资料页面:http://www.jxgl.gov.cn/news2006/ShowSource.asp?Action=ShowUser&UserID=203 
我们以m3qd4d为线索,在网上搜索邮箱使用者的信息,发现一个社交网站中有一个名
为M3QD4D的用户,注册邮箱也是我们前面提到的: 


这个页面的内容即使我们不翻译,也知道个大概了: 

网名:M3QD4D,真实姓名:梅拉德  穆罕默德(دادق م یدمحم),出生于1361年,具体月日转换后应该是6月或者7月26日,换成公元纪年法大约应该是1982年左右的样子。他自己标注了年龄为31岁,那么出生日期应该是真实的,公元纪年还差一个月满31周岁,但是伊斯兰历已经满31周岁。身高介于160到165,体重50到55,家在伊朗的伊斯法罕(Iran  ، ناهف صا ، ناهف صا),会抽烟,学历为研究生以上,但是工作还是写着学生,或者因为翻译的不准确可能是教育类的职业。专业是网络入侵和社会学。 

Paper原文下载地址

这些评论亮了

  • 河蟹 回复
    这么垃圾还敢说是黑客,我这个世界社工之王不是白称的。
    )19( 亮了
发表评论

已有 8 条评论

取消
Loading...
css.php