Ensiko 是一個具備勒索病毒能力的 PHP 網站指令介面工具 (webshell),可攻擊各種平台,包括:Linux、Windows、macOS 或任何其他安裝了 PHP 的平台。此惡意程式可讓駭客從遠端遙控被感染的系統,接收駭客的指令執行一些惡意活動。
此外也可以執行一些指令然後經由 PHP 反向指令介面工具 (reverse shell) 將結果傳回給駭客。此外,它還可掃描伺服器上是否還有其他 webshell 存在, 或是破壞網站門面、發送大量郵件、下載遠端檔案、洩漏被感染伺服器的資訊、利用暴力登入方式試圖駭入 FTP、cPanel 與 Telnet,以及覆寫特定副檔名的檔案等等。
技術細節
Webshell 認證
此惡意程式具備密碼保護能力,在認證時它會顯示一個「Not Found」(找不到) 的頁面,內含隱藏的登入表單,如以下二圖所示:
本文中的樣本密碼是「RaBiitch」,下圖顯示我們攔截到的 webshell 控制台認證請求網路封包內容:
Webshell 功能
以下是 Ensiko 所具備功能列表:
| 功能 | 說明 |
| Priv Index | 從 Pastebin 下載 ensikology.php。 |
| Ransomeware | 使用 RIJNDAEL 128 加密演算法 CBC 模式將檔案加密。 |
| CGI Telnet | 從 Pastebin 下載 CGI-telnet 1.3 版。 CGI-Telnet 是一個 CGI 腳本,可用來在網站伺服器上執行指令。 |
| Reverse Shell | PHP Reverse shell。 |
| Mini Shell 2 | 將 Mini Shell 2 webshell 檔案安裝到「./tools_ensikology/」目錄。 |
| IndoXploit | 將 IndoXploit webshell 檔案安裝到「./tools_ensikology/」目錄。 |
| Sound Cloud | 顯示 Sound Cloud。 |
| Realtime DDOS Map | Fortinet DDoS 地圖。 |
| Encode/Decode | 將記憶體緩衝區內容加密/解密。 |
| Safe Mode Fucker | 停用 PHP 安全模式。 |
| Dir Listing Forbidden | 關閉目錄索引。 |
| Mass Mailer | 發送大量郵件進行轟炸。 |
| cPanel Crack | 暴力登入 cPanel、FTP 和 Telnet。 |
| Backdoor Scan | 檢查遠端伺服器是否存在著 webshell。 |
| Exploit Details | 顯示系統資訊與版本。 |
| Remote Server Scan | 檢查遠端伺服器是否存在著 webshell。 |
| Remote File Downloader | 利用 CURL 或 wget 從遠端伺服器下載檔案。 |
| Hex Encode/Decode | Hex 加密/解密。 |
| FTP Anonymous Access Scaner | 搜尋可匿名登入的 FTP。 |
| Mass Deface | 破壞網站門面。 |
| Config Grabber | 擷取系統組態,如「/etc/passwd」。 |
| SymLink | 連結。 |
| Cookie Hijack | 挾持連線階段。 |
| Secure Shell | SSH Shell。 |
| Mass Overwrite | 覆寫資料或附加資料到指定類型的檔案。 |
| FTP Manager | FTP 管理員。 |
| Check Steganologer | 偵測含有 EXIF 標頭的影像檔。 |
| Adminer | 下載 Adminer PHP 資料庫管理軟體到「./tools_ensikology/」目錄。 |
| PHP Info | 擷取 PHP 組態設定資訊。 |
| Byksw Translate | 字元置換。 |
| Suicide | 自我刪除。 |
勒索病毒分析
此惡意程式使用 PHP 的 RIJNDAEL_128 加密演算法 (CBC 模式) 來將 webshell 目錄與子目錄中的檔案加密,並且將副檔名改成「.bak」。以下是惡意程式內部執行此一行為的程式碼:
圖 6:執行檔案加密行為的程式碼。
不僅如此,惡意程式還會在系統植入一個「index.php」檔案,並利用一個「.htaccess」檔案將它設為預設網頁,此外,駭客也會經由一封電子郵件來收到有關此動作的通知,如下面這段程式碼所示:
工具組
當惡意程式要在被感染的系統上執行其他工作時,會下載一些額外的工具到系統上,這些工具大多從 Pastebin 下載。惡意程式會建立一個名為「tools_ensikology」的目錄來存放這些工具。
圖像隱碼記錄器 (Steganologer)
駭客有一種將程式碼暗藏在 EXIF 格式影像檔標頭的技巧,然後惡意程式再透過一個名為「exif_read_data」的 PHP 功能在受害的伺服器上擷取出惡意程式碼。這個圖像隱碼術(Steganography)會尋找含有 EXIF 標頭的影像檔,然後將影像檔標記成記錄器 (Logger)。下圖中的 test1.jpg 和 test2.jpg 兩個檔案的 EXIF 標頭都含有隱藏的程式碼。
後門掃描 (Backdoor Scan)
後門掃描功能會檢查某個遠端主機是否含有程式內寫死的名單上所列的 webshell。
遠端伺服器掃描 (Remote Server Scan)
類似後門掃描一樣,遠端伺服器掃描的功能會檢查遠端伺服器是否有其他的 webshell。只不過它的名單不是寫死在程式內,而是可以手動輸入要搜尋哪些檔案:
圖 22 和 23:檢查是否有其他 webshell 介面和程式碼。
圖 24 和 25:覆寫檔案功能的使用者介面與程式碼。
大量覆寫
大量覆寫功能可覆寫/附加內容到某附檔名的檔案或特定目錄內的所有檔案,包括 webshell 的所有子目錄。圖 24 和 25:覆寫檔案功能的使用者介面與程式碼。
結論
Ensiko 是一個駭客所使用的 webshell,提供遠端系統管理、檔案加密以及其他更多可在受害網站伺服器上執行的功能。駭客大多利用網站應用程式的漏洞或者登入已經預先駭入的伺服器來植入 webshell。此外,Ensiko 還具備勒索病毒功能,它會使用 RIJNDAEL 加密演算法來將受害網站伺服器的檔案加密。此外,它還可掃描伺服器上是否還有其他 webshell 存在, 或是破壞網站門面、發送大量郵件、下載遠端檔案、洩漏被感染伺服器的資訊、存取資料庫、利用暴力登入方式試圖駭入 FTP、cPanel 與 Telnet,以及覆寫特定副檔名的檔案等等。
入侵指標資料
| SHA-256 雜湊值 | 趨勢科技偵測名稱 |
| 5fdbf87b7f74327e9132b5edb5c217bdcf49fe275945d502ad675c1dd46e3db5 | Trojan.PHP.WEBSHELL.SBJKSJ |
原文出處:Ensiko:A Webshell With Ransomware Capabilities 作者:Aliakbar Zahravi