Ensiko 是一個具備勒索病毒能力的 PHP 網站指令介面工具 (webshell),可攻擊各種平台,包括:Linux、Windows、macOS 或任何其他安裝了 PHP 的平台。此惡意程式可讓駭客從遠端遙控被感染的系統,接收駭客的指令執行一些惡意活動。
此外也可以執行一些指令然後經由 PHP 反向指令介面工具 (reverse shell) 將結果傳回給駭客。此外,它還可掃描伺服器上是否還有其他 webshell 存在, 或是破壞網站門面、發送大量郵件、下載遠端檔案、洩漏被感染伺服器的資訊、利用暴力登入方式試圖駭入 FTP、cPanel 與 Telnet,以及覆寫特定副檔名的檔案等等。
技術細節
Webshell 認證
此惡意程式具備密碼保護能力,在認證時它會顯示一個「Not Found」(找不到) 的頁面,內含隱藏的登入表單,如以下二圖所示:
本文中的樣本密碼是「RaBiitch」,下圖顯示我們攔截到的 webshell 控制台認證請求網路封包內容:
繼續閱讀