针对国外黑客M3QD4D的分析报告(上)

Darksn0w 2013-05-17 148254人围观 ,发现 20 个不明物体 其他

最近很多国外的关于中国对外渗透攻击的报告,诬蔑我国。在此背景下,我们团队也自己做了一份报告。虽然内容不是很详实,不是很专业,但是这也是第一份国内组织对外国骇客的分析报告。

我们要用这份报告告诉世界:

China is the Most Serious Victim Countries by Hacker Attacking

报告共有20页,是针对伊朗官方(尚无定论)黑客培养平台Ashiyane中的核心黑客成员M3QD4D的分析。报告虽然没有卡巴斯基那90多页的扯淡多,但是也绝对是有理有据。

正文

1) 中国是黑客攻击的最大受害国 

近年来,西方国家出于多种目的不断大肆的宣扬中国黑客威胁论,有些可笑的外国媒体甚至以某某攻击是来自中国的ip作为证据。暂且不说这些“证据”的真实性,仅说如果拿ip 地址作为入侵的唯一证据,这个指控最终一定会因证据不足而驳回的。原因很简单,在西方国家制造“中国黑客威胁论”以前一些比较基础的计算机书籍就会提到攻击跳板,顾名思义也就是黑客防止别人发现自己真实地址的代理ip。 
我们使用批判性思维来设想一下:假如中国黑客威胁论成立,那么中国黑客的技术水平已经达到了一定的高度,进而可以推断使用代理、跳板等来隐藏自己真实地址的基本技术可以游刃有余,我们最终有理由相信中国黑客会使用不被怀疑的ip进行网络攻击,换句话说,中国黑客威胁论成立则中国黑客不会笨到一直使用本国的ip来惹人怀疑,攻击来自中国的ip并不能逆推出中国黑客威胁世界网络安全。 
无论如何,始终无法改变一个不争的事实:中国一直都是黑客攻击的最大受害国。 中国在互联网安全方面的整体一直都是很脆弱的,教育的差距导致了中国互联网安全的发展任重而道远。从事安全工作的技术人员经常会发现一些政府站点、教育站点上面几乎成了“跑马场”,后门、暗链、挂马、钓鱼几乎遍布整个网站,尤其还时不时的遭到海外黑客的涂鸦。 
一些海外“惯犯”也越来越被大家熟识,如印度尼西亚臭名昭著的Hmei7,土耳其的商业黑客团伙1923Turk等等。2010年的时候,习科道展团队曾经结识了一位来自科威特的黑客,他是阿拉伯顶尖黑客团队v4 team的核心成员。我们翻到了当年的聊天记录: 

2010/3/13 2:57:40 v4 team -- Silic Security : where are you from ?>? 
2010/3/13 2:57:46 Silic Security -- v4 team : China 
2010/3/13 2:58:04 v4 team -- Silic Security : i hacked many gov,cn 
2010/3/13 2:58:07 v4 team -- Silic Security : sites 
2010/3/13 2:58:22 v4 team -- Silic Security : you have bad security 
2010/3/13 2:58:49 Silic Security -- v4 team : yes...but... 
2010/3/13 2:59:20 v4 team -- Silic Security : yeah worst security in the world 
2010/3/13 3:00:07 Silic Security -- v4 team : well,i know... 
2010/3/13 3:00:23 v4 team -- Silic Security : no security ; )  
2010/3/13 3:00:38 v4 team -- Silic Security : i never heared about 

以上信息来自与Q8root@HoTmAiL.CoM的MSN聊天记录(节选,人物名称有删改) 
当然,这些信息并不是本篇分析报告的内容,引言中的内容与本报告所针对的主角:M3QD4D 并无太大的联系。  

1.1 入侵统计 
M3QD4D从2010年就开始对中国的gov.cn域名站点进行入侵,下面是我们做出的统计: 

2010年9月:7个  gov.cn 站点 
2010年10月:2个  gov.cn站点 
2012年4月:90个gov.cn站点 
2012年5月:12个gov.cn站点 
2012年6月:14个gov.cn站点 
2012年7月:82个gov.cn站点 
2012年8月:43个gov.cn站点 
2012年12月:31个gov.cn站点 
2013年1月:17个  gov.tw站点和1个gov.cn 
2013年2月:2个gov.cn站点 
2013年3月:4个gov.cn站点 
2013年4月:8个gov.cn站点 

*仅2012年4月22日一天M3QD4D便入侵了57个  gov.cn 站点 
从上面的统计来看,或许不太直观,如果我们将没有入侵的月份按0来统计,将上面的数据按月份做成折线,会是什么效果呢? 

*从2010年9月到2012年4月 从图中我们可以看到两个“山峰”,处于这两个山峰时期中是M3QD4D这个黑客入侵网站数量最多的月份。因此我们可以试着推断一下M3QD4D的职业:大学生?教师? 

2) 入侵手法分析 
2.1 截获木马 
我们的第一份木马样本是从www.xjjh.gov.cn上面截获的。 
M3QD4D首先上传了一个涂鸦页面,文件创建时间是:2013-4-20 21:21:04(北京时区),
页面的内容如下: 

虽然这个页面并没有挂马或者有恶意代码存在,并且也没有表示恶意,但是接下来,我们团队对这个站点的文件进行了扫描。发现了几处可疑的文件,分别是: 

/3000.aspx 
/Photo/ShwPhotoo.aspx 
/FCKeditor/editor/_source/classes/faidu.aspx 

其中一个文件的目录位于FCKeditor目录,还有一个文件位于photo目录,创建时间分
别是2013-4-19  0:44:10,2013-4-19  9:08:28和2013-4-19  22:05:40(都是北京时间),我们暂
时并不能通过文件所在的路径就对网站被入侵的原因做定性结论,因为我们还需要继续分析
下去。 

我们下面来瞧瞧这两个文件的代码,这是3000.aspx: 

我们确定这是黑客使用的Webshell后门脚本,黑客使用的后门密码进行MD5加密以后是02aae3e6c45bb7510dbe143d19461281,我们到谷歌上面搜索一下这串字符,得到的第一个结果打开后: 

解密后得到密码的明文是emper,经过对比,文件/Photo/ShwPhotoo.aspx与3000.aspx代码一模一样,因此可以确定这两个文件是同一个黑客留下的。

与之不同的是/FCKeditor/editor/_source/classes/faidu.aspx 这个文件和3000.aspx近乎相同,但是密码却是不同的。faidu.aspx 这个后门的密码是:8aacd8d7d609b0d7816ae31c6ade65b7,通过从网上收集md5的网站中查询得知这个md5的明文是:3204416 

2.2 Web入侵案例分析I 

网站服务器是有Web日志可以查看的。以3000.aspx为线索进行查看: 

首先我们在3月19日的Web日志中锁定3000.aspx这个文件的访问记录,在2053行中

有如下信息: 

2.145.51.185 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 

查询了2.145.51.185这个ip 地址,地址显示为伊朗注册的ip,访问者使用的是Win7系统,而浏览器使用的是火狐引擎。我们暂且不提这个ip 是代理ip 还是这位黑客自己真实的ip,因为这位黑客先生肯定用这个ip 访问了不止这一个页面。不过我们在3月18日的日志中搜索3000.aspx还发现了一个伊朗的

ip: 80 - 2.145.67.186 Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 

查阅网上的资料后,2.145.67.186仍然是来自伊朗的,这个ip 比2.145.51.185出现的还早,那么我们就以这个ip 为线索,看一下能不能找到这位黑客先生的入侵路线。 
*以下日志全部节选自2013年4月18日记录/W3SVC1/ex130418.log

(日志略)

上面的日志可能从文档中直接看会显得很乱,这没有关系,我们可以逐步分析他的入侵动作。先来看他的第一步: 

16:24:59    GET    /admin/login.aspx 
16:27:18    POST    /admin/login.aspx 
16:29:25    POST    /admin/login.aspx 
16:31:05    GET    /admin/FCKeditor/   404 

在18号日志的16时24分之前,我们并没有发现来自2.145.67.186这个ip 的访问,在16:24:59直接对后台进行访问,也就是说这个后台地址可能直接从搜索引擎中跳转过来的。 
回到前台,在主页的最底部我们也发现了后台登陆入口的连接,如图:

以“工作人员入口”为标识,网站没有设置robots.txt 这个文件,因此Google、Baidu等搜索引擎很容易就会将这个/admin/login.aspx路径收录进去。那么这些Google Hacker也就很轻松发现这个地方了。 
我们发现这名黑客POST提交数据之后,继续访问/admin目录的路径并不是HTTP  200,而是HTTP 404未找到,也就是说他猜了密码但是没猜对。看到了FCKeditor的路径,我们就知道他下一步想干什么了。 

16:32:03 GET /FCKeditor/ 403 
16:35:47  GET  /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx 
Command=GetFoldersAndFiles&Type=File&CurrentFolder=/ 
16:36:41 POST  /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx 
Command=FileUpload&Type=File&CurrentFolder=/ 
16:36:42  GET  /FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx 
Command=GetFoldersAndFiles&Type=File&CurrentFolder=/ 
16:37:10 GET /UserFiles/File/config.cer 

我们这里节选的代码并不是完整的过程,把不必要的环节我们给去掉了,看一下关键的
几个步骤,首先是GET一个地址,这个文件的路径在: 

/FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx 

我们访问这个地址看一看: 

FCKeditor的这个文件几乎相当于完整的后门了。这样也就明白config.cer是怎么出现的了。直接通过向connector.aspx进行特定GET参数的POST,就可以将这个config.cer上传至服务器。而cer,asa在IIS中都可以被作为asp脚本来解析的。我们继续看日志: 

GET /UserFiles/File/config.cer raiz=E:\xjjh_web\UserFiles 
POST /UserFiles/File/config.cer action=upload&processupload=yes&path=E:|xjjh_web| 

这两条记录中,我们将第一条记录中的变量名raiz进行了加粗处理,而第二条记录中的加粗内容是一个路径,主要目的并不是突出这个路径,而是突出这个路径中的“|”,综合上面两条特征,我们可以确定这名黑客使用的是土耳其黑客团队Pouya出品的Smart.Shell 1.0。 

16:43:52 GET /UserFiles/File/config.cer action=upload&path=E:|xjjh_web| 
16:44:10 POST /UserFiles/File/config.cer action=upload&processupload=yes&path=E:|xjjh_web| 
16:44:19 GET /UserFiles/File/config.cer raiz=E:\xjjh_web 
16:44:25 GET /3000.aspx 

最后我们看到这里,就可以确定3000.aspx的来源了。继续往下看3月18日的日志: 

21:37:36  POST  /3000.aspx  WebSiteID=1  -  2.145.51.185 
Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 
21:39:16  GET  /m3.htm  -  2.145.51.185 
Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 304 
21:39:16  GET  /m3.htm  -  2.145.51.185 
Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 
21:39:21  GET  /m3.htm  -  2.145.51.185 
Mozilla/5.0+(Windows+NT+6.1;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 

这一部分记录在日志文件大概16万行左右。看上面加粗的两个要点部分,第一个是时间,相差1分40秒,第二个是访问状态,先是HTTP 304然后才是HTTP 200,这两点足以确定上传m3.htm的人就是使用3000.aspx 的黑客,而上传3000.aspx 的黑客就是入侵这个www.xjjh.gov.cn网站的黑客,而M3QD4D就是入侵了这个gov.cn站点的黑客,证据确凿。 
(未完待续

这些评论亮了

  • 河蟹 回复
    反复看几次.我怎么觉得这就是一个FCKeditor拿WEBSHELL的分析.另外前言是可以省略的!
    )19( 亮了
  • rio (1级) 回复
    我代表刺总支持你
    )14( 亮了
  • 61398 回复
    团体多了去了,你这也不算是第一份,而且用这个回应国外的打脸事件还是趁早算了吧,美帝会笑死的,花点时间研究美陆军740部队吧
    这些都是臭名昭著的没事儿捅gov.cn的部分组织
    [IN]SecInjection
    1923Turk
    GarDMain
    SA3D HaCk3D
    M3QD4D
    y7lmoon511
    )10( 亮了
发表评论

已有 20 条评论

取消
Loading...
css.php