Backdoor - 奇安信 X 实验室

奇安信 X 实验室

Backdoor

A collection of 10 posts

Glutton: A New Zero-Detection PHP Backdoor from Winnti Targets Cybercrimals

Introduction On April 29, 2024, XLab's Cyber Threat Insight and Analysis System(CTIA) detected anomalous activity: IP 172.247.127.210 was distributing an ELF-based Winnti backdoor. Further investigation revealed the same IP had, on December 20, 2023, distributed a zero-detection malicious PHP file, init_task.txt, providing a key

黑白通吃：Glutton木马潜伏主流PHP框架，隐秘侵袭长达1年

简介 2024年4月29日，XLab 大网威胁感知系统捕获一起异常活动：IP 172.247.127.210 正在传播 ELF 版本的 winnti 后门木马。APT 相关告警的出现迅速引起了我们的注意。进一步溯源发现，该 IP 曾于2023年12月20日传播一个VirusTotal 0检测的恶意PHP文件init_task.txt ，这一线索为我们后续的调查提供了重要切入点。以 init_task 为线索，我们进一步发现了一系列关联的恶意 PHP payload，包括 task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell 等。这些 payload 的设计灵活，既可以单独运行，

New Zero-Detection Variant of Melofee Backdoor from Winnti Strikes RHEL 7.9

Background On July 27, 2024, XLab's Cyber Threat Insight and Analysis System(CTIA) detected an ELF file named pskt from IP address 45.92.156.166. Currently undetected on VirusTotal, the file triggered two alerts: an Overlay section and a communication domain mimicking Microsoft. Our analysis identified it as a

0检测的Melofee 木马新变种曝光，专攻RHEL 7.9系统

简介 2024年7月27日，XLab的大网威胁感知系统检测到 IP 地址 45.92.156.166 正在传播一个名为pskt的ELF 文件，它在 VirusTotal 上尚无检测。该样本触发了两条告警：文件存在 Overlay 区段，且通信域名疑似模仿微软。经过分析，我们确认这是一个专门针对 Red Hat Enterprise Linux (RHEL) 7.9 的 Melofee 后门木马变种。 Melofee 是一个用 C++ 编写的后门木马，支持信息收集、进程管理、文件操作和 SHELL 等功能，最早于 2023 年 3 月被 ExaTrack 披露，据信隶属于 APT 组织

Uncovering DarkCracks: How a Stealthy Payload Delivery Framework Exploits GLPI and WordPress

Uncovering DarkCracks: How a Stealthy Payload Delivery Framework Exploits GLPI and WordPress

Summary XLab's Cyber Threat Insight and Analysis system(CTIA) recently detected a sophisticated malicious payload delivery and upgrade framework, which we have named DarkCracks. This framework is characterized by its zero detection rate on VirusTotal, high persistence, stealth, and a well-designed upgrade mechanism, leveraging high-performance, stable online infrastructure as its

DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架

DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架

摘要我们的XLab大网威胁感知系统最近捕获了一个VirusTotal 0检测, 高持续、高隐匿、高完善升级设计、并利用高性能稳定在线设备作为其基础设施的恶意载荷投递&升级框架系统。从我们的数据来看，这个我们命名为DarkCracks的恶意程序设计精良，背后的攻击者绝非普通的脚本小子。虽然我们对他的载荷投递&升级框架体系已经掌握，但由于高隐匿性，它的Launcher组件我们截止目前尚无显著视野。不过在8月26日，我们看到在该项目的开发文件中新增一个受密码保护的名字resume的PDF文件，随后该文件被重命名为韩文김영미 이력서 (Kim Young-mi's resume)，考虑到这是一个较为常见的韩文名字，我们高度怀疑这个组件的一部分功能是针对韩语用户群体的社工活动。 DarkCracks利用被黑的GLPI, WORDPRESS站点充当Downloader & C2，收集被入侵设备敏感信息，维持被入侵设备的长期访问权限，并利用这些设备作为中间节点控制其他设备或投递恶意载荷以隐匿攻击者痕迹。我们视野范围内的分布在不同国家的学校网站，公交系统，甚至监狱访客系统等公众服

8220 Mining Gang's New Tool: k4spreader

8220 Mining Gang's New Tool: k4spreader

Overview On June 17, 2024, we discovered an ELF sample written in C language with a detection rate of 0 on VT. This sample was packed with a modified upx packer. After unpacking, another modified upx-packed elf file was obtained which was written in CGO mode. After analysis, it was

8220挖矿团伙的新玩具：k4spreader

8220挖矿团伙的新玩具：k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种，因此在这做一个简单介绍。 “8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，

Playing Possum: What's the Wpeeper Backdoor Up To?

Playing Possum: What's the Wpeeper Backdoor Up To?

Summary On April 18, 2024, XLab's threat hunting system detected an ELF file with zero detections on VirusTotal being distributed through two different domains. One of the domains was marked as malicious by three security firms, while the other was recently registered and had no detections, drawing our attention. Upon

假死疑云：Wpeeper木马所图为何？

假死疑云：Wpeeper木马所图为何？

简介 2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中一个域名已被3家安全产商标注为恶意，另一个域名为近期注册且无任何检测，这个异常点引起了我们的注意。经过分析，我们确认此ELF是一个针对Android系统的恶意软件，基于它使用被黑的WORD PRESS站点做为中转C2，我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马，支持收集设备敏感信息，文件&目录管理，上传&下载，执行命令等诸多功能。Wpeeper最大的亮点在于网络层面，以下3点体现了其作者的用心程度： 1. 依托被黑的WORD PRESS站点构建多层级的C2架构，隐藏真正的C2 2. 使用Session字段区分请求，HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用，攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK目前在VT上也是0检测。UPtod