網絡小黑揭秘系列之黑產江湖黑吃黑—廚房切菜之利器

Author:360天眼安全實驗室

(資料圖片僅供參考)

0x00 引子

人在做，天在看。

黑產乃法外之地，被叢林法則所支配。沒有了第三方強制力量的保障和監督，在那個圈子里我們可以看到兩個極端：想做大生意的往往極重信譽，而那些只想撈一票就走的則會肆無忌憚地黑吃黑。

2015年12月中，360天眼實驗室發布了“網絡小黑揭秘系列之黑色SEO初探”，簡單揭露了下網絡上的黑色SEO活動，同時也提到了很多黑客工具中帶有后門，其中就包括了某些使用面非常廣的工具。沒錯，這回我們的主角是小黑們最喜聞樂見的中國菜刀。

0x01 中國菜刀

菜刀，廚房切菜之利器，亦可用于砍人。中國菜刀(China Chopper)亦是如此，它是一款支持多種語言的非常優秀的WebShell管理程序，可用于正常的網站管理，亦可以用于非法控制管理他人網站，總之是站長居家旅行助手、黑客殺人越貨利器。據說作者是一退伍軍人，國內有人寫了簡評并借鬼仔’s Blog【1】發布，國外亦有FireEye【2】寫了詳細的剖析報告。

通過360云安全的大數據查看菜刀官網(www.maicaidao.com)的站點數據，官網在2014年的12月份發布caidao-20141213（www.maicaidao.com/caidao-2014…）版本之后沒幾天，就停止下載并且關閉了網站（域名IP曾一度指向了GOOGLE.COM），關站的誘因可能是因為Freebuf上發了一篇名為“強大的網站管理軟件 – 中國菜刀20141213新版發布”的介紹文章配【3】。雖然中國菜刀的官網早已關閉，但好東西自有它的生命力，從某種意義上說中國菜刀已經是一個品牌甚至用現在最火的概念來說已經成為一個IP，官方的支持不再重要，自有人來維護傳播它，當然，也包括了里面夾帶的私貨——也就是后門。

0x02 樣本分析

其實，之前已經有很多人寫過中國菜刀的后門，本文無意再作重復，以下主要對采用“db.tmp”模式的后門做下簡要的分析。

通過對收集到的大量樣本進行分析，發現這些帶有后門的中國菜刀都基本上通過修改原版的某些特征來繞過“安全狗”等Web安全防護軟件，同時修改PE的導入表引入一個動態鏈接的后門模塊。為了通過迷惑用戶而不被發現，將后門的名字偽裝成數據庫的臨時文件，也就是“db.tmp”，因為“中國菜刀”的默認數據庫文件名為“db.mdb”。

caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b

對“db.tmp”進行匯總分析，發現PE文件時間戳是偽造的，也就無法通過這個屬性進行分類。根據文件大小大致能分成兩個版本：一個32K大小的早期版本，另外一個36K大小的改進版本。兩個版本的實際功能都差不多，使用VB6編寫，通過對這些文件進行二進制比較確認相同版本的文件大小相同而后門地址不一樣，應該是有使用模版生成器來進行生成。

對“db.tmp”進行反匯編分析，發現帶后門的菜刀會針對抓包軟件進行行為隱藏，當發現系統中有以下進程的時候不執行后門行為動作，使其逃過可能的監視。

通過循環讀取mdb數據庫中的SiteUrl的值并進行判斷，排除“http://www.maicaidao.com/”（目的是為了排除中國菜刀默認生成的示例信息）后繼續讀取SitePass、nCodePage、Config字段值，最后和程序中所配置的后門地址“http://cd.myth321.com/index.asp||||||||”進行拼接，發送數據完成Webshell信息的上傳。

0x03 傳播手段

樣本本身從技術上其實沒多少可說的，保證效果真正的手段是其傳播方法，這個決定了后門操盤手能最終收割多少。以下是我們確認的一些傳播渠道：

1、SEO優化

在手上有大量的Webshell之后，后門菜刀的幕后操刀手可以很方便的利用這些Webshell將自己的網站SEO到一個比較理想的位置。在某搜索引擎的第一頁結果中，我們可以看到除了推廣鏈接排名在第一位，第二位和第三位都是SEO上去的假官網。

我們將仿冒的官網域名列舉如下，基于360的大數據統計了2015年12月07日至16日共計十天的PVUV訪問量，從數據來看SEO還是有些效果的。

2、購買搜索引擎關鍵詞

大家是否還記得2012年年初，曾有人在某搜索引擎中購買putty、winscp、SSHSecure等ssh工具的關鍵詞，使很多人通過該引擎搜索時點擊了推廣鏈接，跳轉到所謂的中文網站并下載運行了包含后門的中文版工具，該后門會將用戶連接過的服務器IP地址、端口號、用戶名及密碼上傳至“l.ip-163.com”這個網站，事情曝光后有白帽子在第一時間通過技術手段發現該服務器已經使數千人中招，甚至包括某些國際大廠的員工。“中國菜刀”這么受歡迎的工具，如果SEO效果不好，購買搜索引擎關鍵詞進行推廣是一個比較理想的高效推廣手段。經過簡單的測試，發現這些帶有后門的“中國菜刀”在某搜索引擎上，買了至少以下三個關鍵詞“過狗菜刀”、“中國菜刀”和“XISE”進行推廣。

3、通過一些黑客論壇進行發布

在不少論壇或黑客組織中，都有收集整理黑客工具并打包發布的傳統，這些都是腳本小子的最愛。針對這些帶后門的中國菜刀進行追蹤溯源，發現很多都是通過黑客工具包進行傳播的，我們整理了一份不完全的名單——這些帶有后門的中國菜刀被有意或者無意加入了這些工具集合中。

4、通過QQ群、論壇等特定的圈子進行傳播

很多黑客的成長，要么是自己觀看他人的教程然后依樣畫葫蘆學習，要么是有老司機帶路甚至是手把手的教。在這個過程中，這群人總會在某個地方形成一個圈子，QQ群也好，論壇也罷，收費的也好，免費也罷。但這些圈子可能并不純粹，老司機有可能也是個半桶水，或者在教的過程中故意留一手——因為我們發現有不少教程中所附帶的工具包也是帶有后門的。以下是幾個例子：

0x04 中國菜刀的背后

網站安全概況

透過傳播手段，我們可以看到“中國菜刀”在中國的流行程度。而中國菜刀的流行也同國內網站的安全性相關。讓我們先看看《2015年中國網站安全報告》【4】中的一段數據：

正因為有大量的網站存在漏洞，所以有大量的自動漏洞掃描及入侵工具。使用中國菜刀來對這些Webshell進行批量管理，小黑們可以非常愉快地執行惡意SEO、掛黑鏈、掛黑頁等活動。

惡意SEO 惡意SEO后門是指針對網站服務器加載惡意SEO代碼，從而借正規網址域名實施搜索引擎優化或誘導欺詐。掛黑鏈 掛黑鏈是指通過篡改原網站相關頁面數據，植入可見或不可以頁面代碼元素，從而達到惡意SEO（即黑帽SEO）的目的。掛黑頁 掛黑頁是指通過篡改原網站的頁面或增加頁面，在這個頁面實現釣魚的行為。如下圖就是通過在正規網站中，植入偽裝成“網游交易門戶”的欺詐頁面。

通過對中國菜刀后門的逆向分析，從樣本中提取了幾個典型的后門箱子鏈接，由此獲取這些箱子是個挺簡單的事，統計發現數據還是很驚人的。數據如下表：

以“c.qsmyy.com”后門地址為例，一共下載回來639個后門箱子，里面共有67864條Webshell，對這些Webshell進行消重后仍有24111條結果，平均每個箱子中有38條Webshell，其中，箱子日期越新的Webshell，訪問成功的概率越高。

而“www.cnxiseweb.com”這個后門地址就更恐怖了，后門箱子的數據每天都會進行日清處理，所以我們只能下載到當天幾個小時的數據，而這幾個小時的數據就高達321條Webshell，消完重后仍有317條Webshell，所有這些也基本反映了國內Web網站的安全狀況

假冒網站溯源

所有讀過360天眼實驗室以前文章的同學們都應該知道，技術的分析和數據的統計大多只是開胃菜，正餐往往在后頭，讓我們來追追菜刀后門的操盤手們。

www.maicaidao.co釣魚站溯源

http://www.maicaidao.co是仿造菜刀官網（www.maicaidao.com）的網站之一，其所提供的菜刀下載鏈接（http://www.maicaidao.co/FileRecv/20141018.zip）是帶有db.tmp后門的，為了提高逆向分析難度，還使用了VMProtect加殼軟件加殼保護。

從公開的whois信息顯示，[email protected]，同時，該郵箱同時還有注冊“maicaidao.me”這個域名。安全圈的朋友們一看這個郵箱，應該并不陌生，沒錯這個郵箱的主人正是某sec組織的成員之一，接下來的我們就不多說了，有興趣的可以自己去挖挖。

www.maicaidao.cc釣魚站溯源

www.maicaidao.cc這個釣魚站因為域名過期已經打不開，但在過去的一年沒少傳播，通過whois查詢可以知道站長的郵箱為 [email protected]

通過QQ群關系社工庫，我們可以看到如下信息。

而在這個QQ號的空間相冊中，還能看到其炫耀的入侵網站截圖。

當然，其QQ空間還有個人生活、學習的照片。

這些照片顯示，其在廣州的傳智播客學習過。通過QQ號查找，發現其有使用微信，基本可以確認此QQ號為主賬號。

更多社工就此打住，貼個天眼的可視化關聯平臺里的關系圖來總結一下www.maicaidao.cc這個釣魚站。

guogoucaidao.com釣魚站溯源

http://www.guogoucaidao.com這個釣魚站的主打是“最新專版過狗菜刀，過目前最新版V3.4.09060安全狗！”，在該釣魚站的第二篇文章（http://www.guogoucaidao.com/?post=2）有所謂的過狗菜刀下載鏈接（http://www.guogoucaidao.com/content/uploadfile/201509/1cae1442556699.rar），但這個鏈接的中國菜刀是含有后門的，經分析后門地址為s.anylm.com。

whois信息，[email protected]，1296444813這個QQ號在搜索引擎中有不少記錄，包括為暗影聯盟站長的身份，后門地址s.anylm.com也正好是暗影聯盟的拼音。

通過百度貼吧，可見其“出售刷鉆平臺ok”的ID，在該ID下有不少關注的貼吧，其中幾個都是獨立創建的，還曾做過卡盟供貨商，在搜索引擎中還能找到暗影卡盟的相關信息。

在某個社工庫里，我們找到了這個QQ號背后的郵箱[email protected]及密碼。順著這條線索，找到了更多身份信息。

在某商城發現了其購買“黑客攻防入門與進階（附贈DVD-ROM光盤1張）”的訂單記錄。

通過132****5891這個手機號能夠找到通過實名驗證的支付寶賬號。

好了，更多的東西就不再深入了，感興趣的同學們可以繼續深挖。用一張天眼的可視化關聯平臺里的關系圖來結束此次追溯之旅。

tophack.net釣魚站追蹤及溯源

在分析一個后門地址為43.249.11.189的 IP服務器的時候，匯總了以下三個帶后門的中國菜刀的下載地址：

1pl38.com/chopper.ziptophack.net/chopper.zipaspmuma.net/chopper.zip

其中tophack.net的whois信息顯示站長的QQ號為595845736，其信息如下：

比較高調的一個小黑客，在QQ空間中還有留有入侵網站的截圖。

通過搜索引擎，能找到好多關于這個QQ號的負面評價。

這些信息表明，該QQ號主人在2011年就已經從事黑產相關的違法交易，行事高調且聲譽不好。另外，QQ簽名顯示，目前正在做“鴻發棋牌”在線賭博平臺。

棋牌游戲的推廣，也是離不開SEO的，從某搜索引擎結果來看，“鴻發棋牌”的排名還是比較靠前的。

通過websiteinformer.com可以查到早在2012年7月就冒充菜刀官網。

通過WHOIS域名查詢得知該QQ郵箱對應的其他域名如下圖。

對域名注冊者進行反查結果如下圖域名。

通過域名來看，基本上都和黑產、黑客相關。

www.caidaomei.com釣魚站追蹤及溯源

www.caidaomei.com這個站的主打有“最新xise菜刀寄生蟲破解版vip版(過狗)”、“紅色版中國菜刀(20141213)正式發布 過狗紅色菜刀”、“最新提權免殺asp木馬,不死復活僵尸木馬”和“最新過狗菜刀下載”，但經分析，該站所有的Webshell管理工具都存在后門。比如“xise菜刀寄生蟲破解版”，就存在“jsc.dat”后門——因為“xise菜刀”的默認數據庫文件名為“jsc.mdb”，和中國菜刀的“db.tmp”后門異曲同工。

文件MD5: 5bb4f15f29c613eff7d8f86b7bcc94c1

不僅如此，該站菜刀后門的箱子數量也十分可觀，我們從后門地址共提取了194個后門箱子共計75166條Webshell，消重后仍有18613條Webshell，平均每個后門箱子中有96條Webshell。

在分析樣本時，發現一個特殊的樣本（fe2a29ac3cae173916be42db7f2f91ef），疑似做測試的。

通過Whois查詢，demo.heimaoboke.com的站長QQ為408888540。

通過搜索引擎，可以找到QQ408888540的在網易lofter上面的blog空間，在該空間中，存在大量的xise菜刀及黑帽SEO的介紹。

文章就是介紹Webshell箱子（菜刀后門）的，可以按需訂制，并提供相應的售后技術支持，就是不知道這個所謂的后門還會不會有個后門。

QQ號信息如下圖。

進入其QQ空間，可見黑帽SEO案例的操作結果截圖。

通過搜索引擎，能夠找到其在百度網盤的分享信息。

還有私密分享，但沒有提取密碼，不知道共享的是什么文件。

由于這個QQ號是個小號，未能有更多的社工信息，就此打住，用張天眼的可視化關聯平臺里的關系圖來結束此次溯源。

0x05 寫在最后

講了這么多中國菜刀及其相關的后門，總結下來，還是一個“利”字。有的人為讓自己的網站有更多的流量，不惜入侵他人網站使用非法手段來提升排名和流量。本篇文章從挖出線索、匯總、整理、再挖再匯再整，時間跨度了幾個月，中間也因為有其它優先級更高的事情及過農歷新年影響了進度，今天終于與大家見面了。再預告一下，天眼安全實驗室接下來將會放一篇更重磅的報告出來，敬請關注。另外，360天眼安全實驗室還在招人，要求扎實的二進制逆向分析基礎，有惡意代碼分析經驗最好，同時我們現在還需要后臺開發，要求熟悉大數據平臺，能夠利用現成框架快速搭建數據流程，[email protected]驗室，數據會讓你有不同的眼界。

0x06 附錄

收集整理的樣本相關數據，可以作為IOC使用。

樣本MD5

0213fef968a77e5cd628aca6a269d9bd

02ca1b36b652c582940e6ae6d94a6934

066f696d49ee8c67be0c3810af46faf1

0785ec81048ad5508956e97360ac322f

0bbcae2af8499a1935f66e4f3cf0cb69

0cdcd9834be42a24feed91dc52b273c7

0de40d8e66b1c3bd12f1a68f9914b60b

126bc9e60f0aaac0bf831dfee1be7326

16151ad243a6f3b9d2fae4a3d91e8007

19e3e3249dc3357ccfa6151049cd1854

1dac878c4a6bddd4194d627bb57d6d58

23940b1b3ff3509933a6fbd46e25c162

23d21fcef3ab3d690b2325979f44d150

2aef1877a28758ba3d78adc65d2ec3db

33b858d1a17a34d7d9676ab80242ccc6

368539bfea931a616489df15e7c1d79c

3923331de81cd5d4c5abe2f8448c25a9

3c40b58ac7eea158f2fa956545e4eee2

46a5e5c94cb5f5b39069cff4f9ba3843

5a6b933b5054efa25141e479be390a37

5ebc970c321b839aab5e2aac73039654

5f2623fecfa77dfca3f3336cee1732fe

5f83eaae01aa1b138061b89aa5374478

63a2c5650b6babd2214e29a1d83e6f98

6c5290651f4b8b188037b2d357ea87cb

8644b075c9de6749e5b3ce20c3348be3

87634adbbf10d6595845dc50ace9d672

88b9059aafa832f0d83b371a34a46506

892cacd515ce684fecf69983c87dbbf1

8fca2f54b4107df7b046c166ed42a3e6

91167748ef09c91cb0047ccd465e1370

918d90cd43bd8c121144e572b1542e21

a1f26b69cee65dfe1cb91a7be2aea6a2

a3e4b1f5661e51b3b5bdc4cae9de6921

aa613662fe3c8cd108c6f7a104e75826

b037871f8a69f5b094dcb6f3b3986bd0

b439239568da85104308fa5b0588eb31

b56b4507a1182356e607c433d9a3a5d9

c00456ba818d78132aaf576f7068e291

c72a397fcc273b272254bb1dea0fd045

cd37fba00631a4a91dfb1239235abe0c

d7383f26d56e6a21a0334ac7eb4ccf8a

d7f7411951e4d4f678f27424c0c21ecd

e3fec98250cdd9cefa9c00b0d782775b

e447b5b56c0caaa51cc623d64dc275d9

e81aa81815e94dff6de0cb1efe48383a

ee39bf504cb66cd22a5c2ce96c922f12

f13c045a7a952e44877bf3f05f2faa8c

f2156701935f78c0ca6d610f518f4f37

f54291227bec8fb1c7013efba8dc9906

f90abd7f720a95d2999f29dbc8d45409

fb5e9c43062a1528ea9cd801c4c6d0b3

fe0720b465fcde0af7ca0b8dc103bc47

fe2a29ac3cae173916be42db7f2f91ef

后門收信地址

http://122.10.82.29/cc.asp

http://1pl38.com/

http://9128.cc/update1111/index.asp

http://aspmuma.net/

http://baidu.myth321.com/baidu/index.asp

http://boos.my.to/caida

http://caidao.guoanquangouma.com/xy.asp

http://cd.myth321.com/index.asp

http://cpin.g.xyz./db.asp

http://dema.gjseo.net/db.asp

http://demo.888p.org/inex.asp

http://demo.asphxg.cn/xg.asp

http://demo.gjseo.net/db.asp

http://demo.gpzd8.com/xg.asp

http://demo.heimaoboke.com/96cn.asp

http://demo.heimaoboke.com/index.asp

http://demo.hmseo.org/db.asp

http://dns.haotianlong.com/index.asp

http://jsc.i06.com.cn/www.asp

http://pkpxs.com/index.asp

http://s.anylm.com/anying/index.asp

http://tophack.net/

http://www.0744m2.com/index1.asp

http://www.668168.xyz/1index.asp

http://www.gnrgs.cn/webshell.asp

http://www.histtay.com/index.asp

http://www.huaidan98.com/cd/index.asp

http://www.jpwking.com/index.asp

http://www.weblinux.xyz/

http://www.zgcaid.com/index.asp

0x07 相關閱讀

【1】：簡評黑客利器——中國菜刀【2】：Breaking Down the China Chopper Web Shell - Part IBreaking Down the China Chopper Web Shell - Part II【3】：強大的網站管理軟件 – 中國菜刀20141213新版發布【4】：2015年中國網站安全報告