EncystPHP Webshell扫描活动分析

上周我写了关于攻击者扫描各种webshells的文章，希望找到一些不需要认证或使用已知凭证的webshells。但一些攻击者正在关注这一点，并部署了更难猜测凭证的webshells。今天，我注意到了一些针对”EncystPHP” webshell的扫描活动。Fortinet在1月份曾报道过这个webshell。它似乎是攻击者入侵脆弱的FreePBX系统时的首选工具。

我观察到的请求是一个特定的HTTP GET请求，目标URL为/admin/modules/phones/ajax.php?md5=cf710203400b8c466e6dfcafcf36a411。这个URL与Fortinet在1月份报道的内容相匹配。参数名”md5″有些误导，实际上webshell只是简单地比较字符串。该参数不一定是特定”密码”的MD5哈希值，任何字符串都可以工作，只要它与webshell中硬编码的字符串相匹配。上述字符串具有正确的MD5哈希长度，但我无法在常见的MD5哈希数据库中找到它。非常可能在不同的攻击活动中只使用少数几个不同的值。许多攻击者可能只是”复制/粘贴”代码，包括这个访问密钥。

目前，这些探测来自160.119.76.250，这是一个位于荷兰的IP地址，该IP地址托管着一个未配置的Web服务器。同一个IP地址还在探测各种FreePBX漏洞，例如发送包含恶意命令的请求，试图下载并执行恶意脚本。这个请求也与Fortinet报道的扫描活动相匹配，并会返回EncystPHP webshell。这个版本还添加了以下后门账户：root、hima、asterisk和sugarmaint等。

来源: SANS ISC