警惕被黑产改造过的蚁剑

渗透技巧 2年前 (2022) admin
862 0 0


写在前面


    说实话这篇文章我是不想写的,后来想想还是大概给大家讲讲这个事。按我以前的想法,AntSword 的目标用户是有一定的技术基础的,至少是有一定思考能力的人,很不幸被黑产团伙盯上了。


正文


我先声明几点,大家自己对照一下自己以前想的和声明中的一样不


1. AntSword 没有官网

  是的,就是没有官网。曾经在2016年刚开源的时候有做过一个纯净态的官网,下载链接也是指向的 GitHub,之后就关了。毕竟不想让用户一会儿去网站上,一会儿又去 GitHub,所以就直接关了(其实是因为没钱续费域名)。


2. AntSwordProject 只会在 GitHub 托管程序和代码。

  别想了,没有网盘,也没加速渠道。不要跟我扯 GitHub 网慢,有时候还访问不到,这是我的问题吗?这就是你去「热心网友」的网盘下载的理由?


3. AntSwordProject 是有审美并且措辞严谨的

  你能看到跟蚁剑相关的丑丑的 UI,或者是风格不一致的 UI,又或者是那种你自己都觉得 low low 的东西,那多半就不是出自 AntSwordProject 的。

  我们的文章措辞也是较为严谨的,不会出现那种夸张到让你看一眼就高潮的描述,比如「最牛逼」、「最新」、「全版本」、「通杀」、「无限制」,再多的就不举了吧。对专有名词这块,是严格的,比如 「AntSword」、「WebShell」、「WAF」,基本上不会出现「waf」、「Waf」、「gitHub」这种让你看着都觉得不美观的写法。



好了说完了,给大家上个图,以防万一我给图上打个标注:


警惕被黑产改造过的蚁剑



过狗过waf」,「即时同步」、「过狗过waf持续更新中」还有「tg群」,好家伙,你就说你看完这些之后高潮了几次?


是的,2022年了,这种十几年前的套路居然又死灰复燃了,我都不知道要说什么好了。这「特别声明」里的文案为啥要整个倒三角出来,好看吗…


刚开始还以为是某些蓝队搞的,因为这个域名注册的时间就是 2022 年4月份。所以为了配合一下国内的安全生态,我就选择了没说话。后来在朋友的深挖之下发现并不是,于是我选择出来跟大家唠唠这个后门。


下载压缩包解压后看看「说明.txt」


警惕被黑产改造过的蚁剑


这喊麦的文案,再送你几个「过狗」的 WebShell,就问你上头不上头?当然了,从这一点上来看,对方定位的目标人群也很明确。


首先从不明来历的下载获取的「AntSword-Loader」是最有可能藏后门的,所以大家一定要注意和 GitHub 页面上的 MD5 进行比对。经过 MD5 校验后,发现这个站给的 Loader 是没问题的,还以为能看到什么骚操作,白高兴了一场


接下来就是比对源码目录的代码了, 我就不放 diff 的图了,直接把他加的标出来,大家自己看代码吧。

source/modules/filemanager/index.js

警惕被黑产改造过的蚁剑


上面是写了个检测,有常用的抓流量程序开着他就不干活了。然后下面的框里就是简单的 Hex 编码了一下箱子的 URL,拿到 WebShell URL 和 Password 之后发到箱子里。


source/core/php/decoder/default.js


警惕被黑产改造过的蚁剑


这就是最简单的 PHP 字符串拼接,你把最后的 eval 换成 var_dump 跑一下就看到他的箱子地址了。


之后就是溯源了,具体步骤就不谈了,讲点有意思的。


先是看看 某SDN 网站上的文章


警惕被黑产改造过的蚁剑


注意看最后一条的那个,文章发布在2019年,这个域名是2022年4月注册的,他是修改过的,还打个「推荐」。


最后是看到了一个黑产群:


警惕被黑产改造过的蚁剑


这位?师傅是群主,Jack 是这个黑产群的管理员之一,然后下面三张图大伙瞅瞅


警惕被黑产改造过的蚁剑


警惕被黑产改造过的蚁剑


警惕被黑产改造过的蚁剑


然后下载了群里面的那个后门源码,你们猜猜发现了什么?后门代码简直是一模一样


你品,你细品,你再品


写在最后


    就这样吧,这个问题就说这一次吧。反正就算代码开源、写了声明、发了警示,也救不了「眼瞎」的人





警惕被黑产改造过的蚁剑

不如关注一波再走?



原文始发于微信公众号(学蚁致用):警惕被黑产改造过的蚁剑

版权声明:admin 发表于 2022年7月15日 上午12:41。
转载请注明:警惕被黑产改造过的蚁剑 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...