一条网站攻击日志分析引发的思考(2)

其他function的功能通过命名方式，多少可以确认一些主要目的不再多赘述，代码即注释啊。感兴趣的是这个var变量里面有一个URL地址，由于对这个比较感兴趣就多关注了一些。如代码69行、143行、371行的使用来看。主要是读取受害者主机的IP地址、依次生成CRC32的校验、abs之后生成的var应该是保留在3位数以内的一个数值。如果IP地址为255.255.255.255那么生成的var数值为475；如果IP地址为200.200.1.123 生成的var数组则为179。仔细想来除了在计算机网络里面接触过这个crc，今天还是第二次接触到这个冗余校验码，多数还是sha系列、md5、RSA、R**之类的多一些。玩的这么复杂和高端，不知道到底是要干嘛？那么生成的访问域名则为

475.p.oubao3389.tech:1942

179.p.oubao3389.tech:1942

继续访问后的网址上依旧存放了一些经过特殊编码的base64的代码

经过解码后的内容看来，大约有120+行的代码量应该是一个网站的恶意seo的代码模块。大概读了一下代码，功能还是有点多。看到这个关键字，轮链问一下度娘感觉仿佛打开了新世界，感兴趣的小伙伴可以自行了解一下。

然后突然又一想，如果这个var的数值不是三位数又会怎么样？报着这种心态，然后继续再访问一波:1942居然返回了一个特殊的网站路径。

打开网址后是一个娱乐网站、在其他脚本里面还包含了另外的一些网址访问之后的内容基本保持一致，看起来这个才是最后的目的。最开始的那个工具包就是想通过web系统的RCE漏洞植入存放在恶意服务器上的广告SEO脚本。

其他信息感觉倒也没有什么值得深入分析的必要，但是到了这里倒是引发了另外一种的思考。目前各个安全厂商的安全设备，在针对webshell上传的识别能力应该还是不错的，常见的做法都是通过截取上传的文件内容进行文本识别，本质上和D盾的思路应该是一样的，简单点或许简单的字符规则、文本规则也有，高端一点可以用到语义识别和自然语言处理，虽然各有优劣但是相关解决方案还是比较成熟的。

这个场景的识别一般是建立在 外网到内网的上传，相关的内网应该是在HTTP头数据包里面的Request Body这个部分，方法也多数是POST类型。

那如何是webshell的主动下载呢？那么方向就是主动从内网到外网的发起的请求，多数也是get请求，脚本代码是在response body的部分，那么在很多场景说不定是一个突破的好思路。

总体来看这个应该是一些利用常见的一些Web RCE漏洞来进行网站SEO达到牟利的一个团伙，从过程中利用的工具和攻击手法来看有条不紊可以用精细进行描述，由于利用的都是一些已知漏洞还是容易被察觉。由于之前跟进的比较多都是一些热点的病毒勒索和定向攻击场景，在黑链这个场景下的经验还比较缺乏，总感觉发现的还只是冰山一角。