کمیته رکن چهارم – محققان امنیتی اخیرا موفق به شناسایی یک وب شل جدید مبتنی بر PHP با نام Ensiko با قابلیت باج افزاری شده اند که به PHP های نصب شده بر روی سیستم عامل هایی مانند Linux ،Windows ،MacOS و سایرین حمله می کند. این بدافزار قادر است دسترسی از راه دور را برای هکر مهیا و از طریق shell معکوس PHP دستورات حمله کننده را اجرا کند.
محققان امنیتی Trend Micro در بررسی های اولیه متوجه شدند که این بدافزار پس از آلوده کردن سرورها اقدام به اسکن صفحات وب، ارسال ایمیل های دسته جمعی، دانلود فایل های ریموت، حملات بروت فورس بر روی پروتکل های FTP، سیستم cPanel و Telnet، اوررایت (overwriting) کردن فایل ها با پسوند های مشخص و … می کند.
Webshell با قابلیت Ransomware
این یک بدافزار password-protected است یعنی صفحه ای که پیدا نشده (not found) را با یک فرم ورود مخفی نمایش می دهد، از RIJNDAEL_128 با حالت CBC برای رمزگذاری فایل ها در دایرکتوری های وب استفاده می کند و پسوند “bak.” را پیوست می کند. نمونه فرم ورودی مخفی را در زیر می توانید مشاهده کنید
همچنین یک فایل index.php را دراپ می کند و آن را به عنوان صفحه پیش فرض با استفاده از یک فایل htaccess. قرار می دهد.
نمونه فایل ایندکس تعویض شده
در ادامه می توانید ویژگی های Ensiko را مشاهده می کنید:
| Features | Description |
| Priv Index | Download ensikology.php from pastebin |
| Ransomeware | Encrypt files using RIJNDAEL 128 with CBC mode |
| CGI Telnet | Download CGI-telnet version 1.3 from pastebin;CGI-Telnet is a CGI script that allows you to execute commands on your web server. |
| Reverse Shell | PHP Reverse shell |
| Mini Shell 2 | Drop Mini Shell 2 webshell payload in ./tools_ensikology/ |
| IndoXploit | Drop IndoXploit webshell payload in ./tools_ensikology/ |
| Sound Cloud | Display sound cloud |
| Realtime DDOS Map | Fortinet DDoS map |
| Encode/Decode | Encode/decode string buffer |
| Safe Mode Fucker | Disable PHP Safe Mode |
| Dir Listing Forbidden | Turn off directory indexes |
| Mass Mailer | Mail Bombing |
| cPanel Crack | Brute-force cPanel, ftp, and telnet |
| Backdoor Scan | Check remote server for existing web shell |
| Exploit Details | Display system information and versioning |
| Remote Server Scan | Check remote server for existing web shell |
| Remote File Downloader | Download file from remote server via CURL or wget |
| Hex Encode/Decode | Hex Encode/Decode |
| FTP Anonymous Access Scaner | Search for Anonymous FTP |
| Mass Deface | Defacement |
| Config Grabber | Grab system configuration such as “/etc/passwd” |
| SymLink | link |
| Cookie Hijack | Session hijacking |
| Secure Shell | SSH Shell |
| Mass Overwrite | Rewrite or append data to the specified file type. |
| FTP Manager | FTP Manager |
| Check Steganologer | Detects images with EXIF header |
| Adminer | Download Adminer PHP database management into the ./tools_ensikology/ |
| PHP Info | Information about PHP’s configuration |
| Byksw Translate | Character replacement |
| Suicide | Self-delete |
برخی هکرها از تکنیک steganography (روشی برای مخفی کردن اطلاعات خاص است) برای مخفی کردن کد درون قالب های فایل تصویری قابل تعویض (EXIF) (هدر یک فایل تصویری) استفاده می کنند.
عکس زیر یک رابط وب شل است
بدافزار Ensiko شامل دو روش اسکن است:
- Backdoor Scan – اسکن وب شل از یک لیست هارد کد شده.
- اسکن سرور از راه دور – سرور آلوده را اسکن می کند تا اگر وب شل دیگری در آن بود پیدا کند.
خلاصه اینکه: هکرها با تزریق Ensiko می توانند به فرآیندهای مدیریت از راه دور، رمزگذاری فایل و پروسه های مختلف دسترسی داشته باشند. همیشه باید سرور خود را از وجود شل ها بررسی کنید.
منبع: ایران سایبر
