Script WebShell : China Chopper

China Chopper est un script WebShell publiquement accessible. Comme il est couramment utilisé depuis 2012, ce maliciel est abondamment documenté.

Les WebShell sont des scripts malveillants qui sont téléversés dans un hôte cible consécutivement à une compromission initiale; ils visent à fournir à l'auteur malveillant la possibilité d'exécuter à distance des fonctions d'administration.

Dès lors que l'accès est obtenu, les WebShell peuvent également servir de carrefours depuis lesquels d'autres hôtes du réseau sont ciblés à leur tour.

Utilisation

Le script WebShell China Chopper est fréquemment utilisé par les auteurs malveillants pour accéder, à distance, à des serveurs Web compromis, depuis lesquels il permet de gérer les fichiers et les répertoires, et d'accéder à un terminal virtuel placé sur le dispositif compromis.

Comme China Chopper n'affiche qu'un faible volume, 4 ko, et qu'il dispose d'une charge utile aisément modifiable, il est difficile à détecter et à freiner.

Capacités

Le WebShell China Chopper se compose principalement de deux modules : le client China Chopper, qui est exploité par l'attaquant, et le serveur China Chopper, qui est installé dans le serveur Web du système ciblé et, lui aussi, exploité par l'attaquant.

Le client WebShell peut exécuter des commandes de terminal et gérer les fichiers conservés sur le serveur du système ciblé. Son hachage MD5 est accessible publiquementNotes en fin de texte 3.

Web Shell Client Hachage MD5
caidao.exe 5001ef50c7e869253a7c152a638eab8a
 

Le serveur du WebShell est téléversé en texte clair et peut être aisément modifié par l'auteur malveillant. Cette caractéristique rend difficile la définition d'un hachage qui soit en mesure de repérer l'activité de l'adversaire.

À l'été de 2018, on a repéré des auteurs malveillants en train de cibler des serveurs Web, sur Internet, qui étaient vulnérables à CVE-2017-3066. L'activité était liée à une vulnérabilité d'Adobe Cold Fusion, la plateforme de développement d'applications Web, découlant de l'activation de la fonction d'exécution de code à distance. China Chopper constituait la charge utile de deuxième phase qui, une fois les serveurs compromis, était placée dans le système de façon à donner à l'auteur malveillant un accès distant à l'hôte ciblé.

Suivant l'exploitation d'une vulnérabilité informatique, le China Chopper en mode texte est placé sur le serveur Web du système ciblé. Une fois téléversé, le serveur WebShell devient accessible en tout temps par l'auteur malveillant qui dispose de l'application client. Une fois que la connexion est établie, cet auteur malveillant procède au traitement des fichiers et des données sur le serveur Web.

Il peut notamment téléverser des fichiers sur le serveur infecté ou télécharger des fichiers depuis ce même serveur. Par exemple, au moyen de l'outil d'extraction de fichiers « wget », il peut télécharger des fichiers d'Internet et les téléverser sur le serveur infecté pour ensuite modifier, supprimer, copier ou renommer des fichiers ou encore en modifier l'horodatage.

Détection et protection

La plus efficace des défenses contre un WebShell consiste d'abord à prévenir toute possibilité de compromission du serveur Web. Il faut donc veiller à ce que les logiciels tournant sur les serveurs Web du côté public soient toujours à jour et à ce que les correctifs soient installés sans délai. Applications de vérification personnalisées pour les vulnérabilités Web courantesNotes en fin de texte 4.

L'une des caractéristiques de China Chopper est que chacune de ses activités génère un élément HTTP POST. Ce type d'occurrence est évident, ce qui le rend facilement détectable pour ceux qui ont recours à un outil de défense réseau.

Certes, le serveur WebShell de China Chopper est téléversé en texte clair, mais les commandes sont, quant à elles, exécutées par le client et codées en Base64, ce qui les rend aisément décodables.

L'adoption du protocole TLS (Transport Layer Security) par les serveurs Web entraîne le chiffrement du trafic passant par le serveur Web, ce qui complique la détection des activités de China Chopper pour les outils de détection réseau.

Le moyen le plus efficace de détecter et de contrer China Chopper est d'intervenir directement sur l'hôte (plus précisément sur le côté Internet des serveurs Web). Il existe des moyens simples de détecter la présence de WebShell, notamment au moyen de lignes de commandes dans les systèmes d'exploitation Linux ou WindowsNotes en fin de texte 5.

Pour repérer les WebShell à grande échelle, les responsables de la défense des réseaux devraient se concentrer sur la détection de deux éléments : l'exécution de processus suspects sur les serveurs Web (p. ex. l'exécution de virus compagnons sur les fichiers binaires PHP), et les connexions externes inhabituelles de la part des serveurs Web. Généralement, les connexions des serveurs Web vers un réseau interne sont prévisibles. Par conséquent, toute modification des habitudes de connexion pourrait annoncer la présence d'un WebShell. On peut administrer les autorisations d'accès réseau de façon à empêcher les processus du serveur Web de modifier les fichiers existants ou d'apporter des modifications aux répertoires où les PHP peuvent s'exécuter.

On recommande également que le contenu des journaux d'accès Web soient surveillés, en procédant, par exemple, à l'analyse du trafic. De cette façon, toute occurrence inattendue (sur le plan des pages ou des tendances du trafic) pourrait constituer un avertissement.

Dernière mise à jour: