垃圾邮件攻击活动滥用PHP函数实现驻留，并使用被入侵的设备绕过检测

蜜罐系统检测到一个使用被黑设备来攻击有漏洞的web服务器的垃圾邮件攻击活动。在暴力破解弱访问凭证后，攻击者用这些被黑的设备作为代理转发base64编码的PHP脚本到web服务器。脚本会发送含有到垃圾邮件站点的嵌入链接到特定的邮件地址。

研究人员发现其中一些样本是垃圾邮件，会重定向用户到加密货币垃圾邮件站点，垃圾邮件僵尸网络的路径可以用来传播恶意软件到更多系统和有漏洞的服务器。因为使用被黑的设备来发送恶意链接，因此如果被用于更大的攻击的话，就很难来识别其归属。而且，使用PHP web shell和函数不仅可以进行入侵和感染，还可以让攻击者在漏洞利用打补丁后仍然可以访问服务器。该攻击活动从5月开始活跃，主要目标是位于英国的用户。

攻击链

图1. 垃圾邮件攻击链

恶意攻击者首先通过暴力破解获取设备的SSH访问权限，然后用端口转发方法来发送恶意PHP脚本到web服务器。

图2. 攻击者通过暴力破解获取到蜜罐的SSH访问权限

从被黑的设备中，可以看到base64编码的字符串数据会发送到目标web服务器，研究人员将其提取出来并保存为文件。研究人员分析发现start_cache1.php 应该是一个伪造的PHP web shell，用来翻译攻击者的shell命令，而脚本路径/wp-snapshots/tmp/start_cache1.php表明这是一个被黑的wordpress站点。这表明攻击者即使漏洞修复后仍然可以继续访问受感染的服务器。此外，根据解码的PHP脚本，垃圾邮件会发送给特定的邮件地址，如图4所示：

图3. Base64编码的PHP脚本

图4. 发送给特定邮件地址的垃圾邮件

其他函数包括register_shutdown_function, 可以在脚本执行完成后启用函数。滥用了PHP回调Register Shutdown Function Webshell，这在之前的一个攻击活动中被用于安装后门。

图5. PHP脚本中的其他函数

图6. 含有嵌入链接的垃圾邮件样本

被黑的web服务器发送的垃圾邮件中含有重定向到欺诈站点的链接。虽然看起来很类似，但链接会重定向到不同的站点，主要攻击位于英国的用户。

图7. 点击邮件中的链接重定向用户到恶意站点

图8. 另一个伪造的恶意站点示例

点击欺诈站点中的任一链接可以重定向用户到一个加密货币交易站点的signup页面。服务声称是免费的，但用户会被要求在帐户中存入250美元。

图9. 加密货币交易欺诈站点

图10. 要求用户存入seed money才能交易的站点

结论

攻击活动背后的攻击者并非业余爱好者，而是专业人士。通过使用被黑的设备，安全研究人员和分析师就更难对攻击进行追踪和溯源。研究人员怀疑恶意攻击者扫描开放的SSH端口来找到暴露的设备，然后暴力破解口令，最后发送恶意PHP脚本等。此外，欺诈的恶意网站看起来就像是真的加密货币交易站点一样，但研究人员认为攻击者并不单单只是为了挣这点seed money，而是用更有效的方法来安装更多的恶意软件或后门，这样就可以在设备打补丁修复后仍然感染被黑的系统。这些被黑的设备和服务器成为网络后也可以用来盈利。

研究人员建议用户不要随机点击邮件中的链接，如果使用的是默认凭证或弱口令，那么要尽快修改，并且要尽量避免启用非必要的端口来防止攻击。