安全速递  奇安信威胁情报中心XLab近日发现了一种名为“Glutton”的PHP后门程序,该恶意软件被用于针对中国、美国、柬埔寨、巴基斯坦和南非等国的网络攻击,并且攻击目标不仅包括传统的企业和政府机构,还涵盖了网络犯罪分子,这意味着网络犯罪生态系统内部也面临着严重的威胁。

Glutton:功能强大的模块化恶意软件框架

Glutton是一个模块化恶意软件框架,能够感染目标设备上的PHP文件并植入后门。它主要针对流行的PHP框架,例如宝塔(BT)、ThinkPHP、Yii和Laravel。Glutton 的攻击手法十分狡猾,它会利用这些框架中存在的代码注入漏洞、反序列化漏洞或文件包含漏洞等,将恶意代码注入到正常的 PHP 文件中,从而实现隐蔽的攻击。例如,在ThinkPHP框架中,攻击者可以利用框架的缓存机制,将恶意代码写入缓存文件,然后通过文件包含漏洞执行恶意代码。

攻击链:从入侵到持久化

Glutton的攻击链始于利用零日和N日漏洞或暴力破解等方式获取初始访问权限。XLab 的研究人员发现,攻击者还会利用社会工程学手段,例如在网络犯罪论坛上发布带有 Glutton 后门的虚假广告或工具,诱骗其他网络犯罪分子下载和运行。 随后,攻击者会利用名为“task_loader”的主要模块评估执行环境并获取其他组件,包括负责下载ELF后门的“init_task”模块。该后门伪装成FastCGI进程管理器(“/lib/php-fpm”),感染PHP文件并收集敏感信息。值得注意的是,Glutton 采用了一种“无文件”攻击技术,它不会在目标系统上留下任何恶意文件,而是将所有恶意代码都加载到内存中执行,从而增加了攻击的隐蔽性和分析难度。 具体来说,Glutton 利用了 PHP 的eval() 函数和assert() 函数等动态执行代码的功能,将恶意代码以字符串的形式存储在内存中,并在需要时动态执行,从而避免了写入磁盘文件。

Glutton 的模块化架构

Glutton 采用了模块化的架构设计,不同的模块负责不同的功能,例如:

  • task_loader:

     负责加载和执行其他模块,是 Glutton 的核心模块。
  • init_task:

     负责下载和执行 ELF 后门,收集系统信息等。
  • client_loader:

     负责更新网络基础设施,下载和执行后门客户端,实现持久化等。
  • PHP 后门模块:

     负责接收和执行攻击者的指令,提供丰富的攻击功能。

这种模块化设计使得 Glutton 具有高度的灵活性和可扩展性,攻击者可以根据不同的攻击目标和需求,选择不同的模块进行组合和配置。

PHP后门:功能齐全,支持多种命令

Glutton的PHP后门功能齐全,支持22种不同的命令,包括切换C2连接、启动shell、下载/上传文件、执行文件和目录操作以及运行任意PHP代码等。攻击者可以通过这些命令,完全控制受感染的服务器,窃取敏感数据、篡改网站内容、发起 DDoS 攻击等。 为了增强隐蔽性,Glutton 的 PHP 后门还采用了多种反检测技术,例如:

  • 代码混淆:

      对 PHP 代码进行混淆处理,使其难以阅读和分析。
  • 流量加密:

      使用自定义的加密算法对 C2 通信流量进行加密,防止被安全设备检测。
  • 隐藏自身:

      修改系统文件,将自身隐藏在系统进程列表中,避免被发现。

攻击目标:网络犯罪分子也成受害者

值得注意的是,Glutton的攻击目标不仅包括传统的“白帽子”受害者,还包括网络犯罪资源运营者。攻击者通过入侵网络犯罪论坛,在受感染的企业主机上植入后门,进而对其他网络犯罪分子发起攻击。这种“以黑吃黑”的攻击策略,使得网络犯罪生态系统内部也充满了风险和不确定性。  XLab 的研究人员推测,攻击者可能有多种动机:

  • 窃取网络犯罪分子的数据和资源:

      例如,窃取他们的数据库、攻击工具、漏洞利用代码等。
  • 破坏网络犯罪分子的基础设施:

      例如,破坏他们的服务器、网站、僵尸网络等。
  • 干扰网络犯罪分子的行动:

      例如,干扰他们的攻击活动、勒索活动等。
  • 获取网络犯罪分子的信任:

      通过攻击其他网络犯罪分子,获取他们的信任,进而渗透到更深层次的网络犯罪组织中。

幕后黑手:疑似Winnti APT组织

XLab初步认为Glutton的幕后黑手可能是Winnti(APT41)APT组织,这是一个长期活跃的中国APT组织,以其高超的攻击技术和广泛的攻击目标而闻名。Winnti 组织通常针对政府机构、国防工业和科技企业等高价值目标,窃取敏感信息和知识产权。  然而,Glutton 的一些特征与 Winnti 组织以往的攻击工具有所不同,例如代码风格、隐蔽技术等,因此 XLab 的研究人员还无法完全确定 Glutton 的幕后黑手。

安全建议:

  • 及时更新PHP框架和相关组件,修复已知漏洞。

      例如,ThinkPHP官方已发布安全更新,修复了多个可能被Glutton利用的漏洞,建议用户尽快升级到最新版本。
  • 加强服务器安全防护,部署入侵检测和防御系统。

      例如,使用Web应用防火墙(WAF)拦截恶意请求,使用入侵检测系统(IDS)检测异常网络活动,使用安全信息和事件管理系统(SIEM)进行安全监控和分析。
  • 对PHP框架进行安全配置,禁用不必要的模块和功能。

      例如,禁用eval() 函数和assert() 函数,限制文件上传功能,过滤用户输入,开启安全模式等。
  • 定期进行安全审计,及时发现和修复安全漏洞。

      可以使用专业的安全工具或服务对PHP应用程序进行代码审计和漏洞扫描,例如 RIPS、Fortify SCA 等。
  • 加强安全意识培训,提高员工的安全意识和技能。

      例如,教育员工不要轻易点击可疑链接或下载不明来源的程序,定期进行安全演练等。