中国黑客业务团队承接一切网站入侵业务,服务器入侵业务,文件加密,文件解密,办公系统入侵,电脑远程控制等业务
联系我们:
技术支持
技术支持








网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手

 引子

人在做,天在看。

 

黑产乃法外之地,被丛林法则所支配。没有了第三方强制力量的保障和监督,在那个圈子里我们可以看到两个极端:想做大生意的往往极重信誉,而那些只想捞一票就走的则会肆无忌惮地黑吃黑。

 

2015年12月中,360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”,简单揭露了下网络上的黑色SEO活动,同时也提到了很多黑客工具中带有后门,其中就包括了某些使用面非常广的工具。没错,这回我们的主角是小黑们最喜闻乐见的中国菜刀。

 

中国菜刀

菜刀,厨房切菜之利器,亦可用于砍人。中国菜刀(China Chopper)亦是如此,它是一款支持多种语言的非常优秀的WebShell管理程序,可用于正常的网站管理,亦可以用于非法控制管理他人网站,总之是站长居家旅行助手、黑客杀人越货利器。据说作者是一退伍军人,国内有人写了简评并借鬼仔’s Blog 发布,国外亦有FireEye 写了详细的剖析报告。

 

通过360云安全的大数据查看菜刀官网()的站点数据,官网在2014年的12月份发布caidao-20141213()版本之后没几天,就停止下载并且关闭了网站(域名IP曾一度指向了GOOGLE.COM),关站的诱因可能是因为Freebuf上发了一篇名为“强大的网站管理软件 – 中国菜刀20141213新版发布”的介绍文章。 虽然中国菜刀的官网早已关闭,但好东西自有它的生命力,从某种意义上说中国菜刀已经是一个品牌甚至用现在最火的概念来说已经成为一个IP,官方的支持不再重要,自有人来维护传播它,当然,也包括了里面夹带的私货——也就是后门。

 

样本分析

其实,之前已经有很多人写过中国菜刀的后门,本文无意再作重复,以下主要对采用“db.tmp”模式的后门做下简要的分析。

 

通过对收集到的大量样本进行分析,发现这些带有后门的中国菜刀都基本上通过修改原版的某些特征来绕过“安全狗”等Web安全防护软件,同时修改PE的导入表引入一个动态链接的后门模块。为了通过迷惑用户而不被发现,将后门的名字伪装成数据库的临时文件,也就是“db.tmp”,因为“中国菜刀”的默认数据库文件名为“db.mdb”。

 

caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17]  下一页