Golang暴力破解器攻击电商网站

Posted 2021-04-25 嘶吼专业版

研究人员分析发现电商网站使用的CMS系统和相关的插件都存在漏洞。而且网站管理员使用的口令比较弱，因此暴力破解攻击非常容易就可以破解。

调查是从新感染的Magento网站开始的。研究人员通过skimmer使用的域名发现与一个恶意软件有关，该恶意软件实际上是一款针对Magento, phpMyAdmin, cPanel的暴力破解器。虽然无法确定skimmer注入的方式，但研究人员相信这只是众多电商网站攻击活动中的一个。

被黑的网站

研究人员发现恶意代码被直接注入到网站的主页上，其中引用了一个外部的JS代码。也就是说电商网站被攻击者通过漏洞利用或暴力破解管理员密码等方式入侵了。

研究人员使用VirusTotal Graph分析发现了电商网站和Golang恶意软件直接的关联，具体来说是一个从恶意软件到被入侵的网站的网络请求。扩展后，研究人员发现恶意软件是另一个Delphi语言编写的二进制文件释放的。这是恶意软件通信的另一个域名集。

Payload分析

Delphi下载器

第一部分是一个两层打包的下载器（Trojan.WallyShack）。第一个是UPX，解包后研究人员看到了第二层：使用process hollowing技术的打包器。

该下载器非常简单。首先是从系统中收集基本信息，然后发送给C2服务器。可以看到域名是硬编码在二进制文件中的。

该元素的主要目标是下载和运行payload文件：

Golang payload

然后释放的payload文件会将自己安装到开始菜单文件夹中。首先复制%TEMP%中的bash脚本，然后应用到开始菜单文件夹。该样本并没有打包，从中可以看出是用Golang语言编写的，该文件为Trojan.StealthWorker.GO

查看以main_开头的函数，可以区分是否是要分析的二进制文件还是静态链接库。

研究人员发现多个含有Brut名的函数，表明该恶意软件的目的是暴力破解。

这是恶意软件样本与前面被黑的电商网站进行通信。下面介绍如何通信。

通信和暴力破解

Golang二进制文件执行后会连接到5.45.69[.]149，访问该IP会看到一个web网关：

僵尸主机会通过一系列HTTP请求向C2服务器报告说受感染的计算机已经准备好新的任务，然后接收指令。下面是僵尸主机尝试用/downloader/directory暴力破解Magento站点：

考虑到可能的密码组合有很多，暴力破解攻击可能会非常慢。因此，犯罪分子常利用CMS和插件中的漏洞而不是暴力破解的方法来发起攻击。使用僵尸网络来执行暴力破解攻击可谓省时省力。因为很多人仍然使用弱口令，因此暴力破解仍然是入侵web网站的一种有效方式。

攻击时间和其他连接

研究人员发现了Golang的多个不同变种，大多数是2月初被提交到VirusTotal的。

分析样本后，研究人员发现不仅仅有Magento暴力破解，有的僵尸主机还在攻击WordPress站点。当僵尸主机检查了服务器后，就会接收到一个新的域名和密码集。下图就是暴力破解phpMyAdmin的例子：

POST:

set_session=&pma_username=Root&pma_password=Administ..&server=1&target=

index.php&token=

User-Agent:

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0

这种在线电商网站被攻击的事件刚发生几天。没有服务器日志也没有能力进行取证调查，因此研究人员只能假设一些被攻击的场景。

主要的弱点