Desofuscando um webshell em php h2hc Ed.9
1 gostou611 visualizações
O documento descreve o processo de desofuscação de um webshell (backdoor) em PHP encontrado em um servidor comprometido. O código estava ofuscado usando representações hexadecimais e Base64. O autor desenvolveu programas para decodificar as partes e revelar que o código interpreta funções PHP maliciosas, incluindo eval, gzinflate e base64_decode.
![Desofuscando um webshell em PHP
POR RICARDO LOGAN
Ao ajudar um amigo em uma perícia sobre crimes virtuais
em um servidor Web comprometido, nos deparamos
com um código que nos deixou intrigados. O código
estava ofuscado, então resolvemos desofuscar e ver do que
se tratava. Foi então que chegamos a conclusão que era
um webshell (backdoor) feito em PHP, escondido dentro do
código de uma página de erro 404 (Not Found). O objetivo
desse artigo é demonstrar como foi feita a desofuscação do
webshell.
Um trecho do código encontrado na página de erro 404
pode ser visto no Código 1.
preg_replace é uma função que realiza busca e substituição
utilizando expressão regular. Ressalta-se o uso da flag “e”,
que ocasionará a execução de código presente na string.
A string que potencialmente possui código malicioso está
presente no segundo parâmetro da chamada da função
preg_replace (Código 1). Nota-se que ela está ofuscada. Para
fins didáticos, a string ofuscada foi dividida em 3 partes: a
ideia é separar a utilização de representação hexadecimal
(Partes 1 e 3) dos demais caracteres (Parte 3).
Olhando rapidamente para as Partes 1 e 3, aparentemente,
nota-se a utilização de caracteres ASCII representados em
hexadecimal. A fim de se obter os caracteres ASCII dessas
duas partes, foi desenvolvido o programa analise.c, que
pode ser observado no Código 2. A Listagem 1 ilustra a
execução de tal programa.
Bingo! Observando os resultados obtidos na Listagem 1,
podemos perceber que realmente as partes 1 e 3 tratam-se
de caracteres ASCII representados em hexadecimal.
A primeira parte da string nada mais é do que uma
chamada para as funções eval, gzinflate e base64_decode.
Essas funções serão interpretadas em tempo de execução
por causa do modificador “e”, que pode ser observado na
chamada da função preg_replace no Código 1.
Adicionalmente, ressalta-se que a segunda parte da string
será submetida diretamente à função base64_decode, logo
percebe-se que ela se trata de dados codificados com
Base64.
A terceira parte da string ofuscada simplesmente fecha os
parêntesis abertos pela primeira e encerra o comando PHP
com um“;”.
Até agora foi descoberto que a chamada a preg_replace,
observada no Código 1, ocasionará a interpretação do
código presente na Listagem 2.
Observando a Listagem 2, nota-se claramente que a
segunda parte da string é um parâmetro passado para a
função base64_decode. Logo, essa parte é uma string com
dados codificados em Base64. Desta forma, tem-se que o
primeiro e último caracteres da Parte 2 são, simplesmente,
indicadores para que o PHP interprete o resto dos dados
dessa parte como string.
A fim de desobfuscar a segunda parte da string, foi
desenvolvido o programa analise2.php (Código 3), cujo
objetivo é desfazer as ações realizadas pelas funções
presentes na Listagem 2.
A execução do programa analise2.php pode ser observada
na Listagem 4.
Código 1 –Trecho de código encontrado na página de erro 404. O código completo pode ser obtido em [1].
Parte 1 – Primeira parte da string ofuscada.
Parte 2 – Segunda parte da string ofuscada. Essa parte pode ser vista em sua totalidade em [2].
Parte 3 – Última parte da string ofuscada.
Código 2 – Programa analise.c.
Código 3 – Programa analise2.php.
Listagem 1 – Execução do programa analise.c nas Partes 1 e 3 da string ofuscada.[1].
Listagem 2 – Código a ser interpretado como resultado da chamada a preg_replace observada no Código 1.
21](https://image.slidesharecdn.com/desofuscandoumwebshellemphp-h2hc-ed-150525141108-lva1-app6892/85/Desofuscando-um-webshell-em-php-h2hc-Ed-9-1-320.jpg)
![Pronto! Agora basta abrir o arquivo
webshellfinal.php para ver a string que
estava ofuscada (Listagem 5).
Analisando a Listagem 2, percebe-se
que o código presente na Listagem
5 é o que, de fato, será interpretado
pelo PHP. Agora, fica a cargo do leitor
estudar o funcionamento do webshell.
NOTA DO EDITOR:
Durante o processo de revisão deste artigo,
notou-se que alguns antivírus consideraram
o documento .docx enviado pelo autor como
infectado. Após alguns testes, ficou claro que
o motivo de tal comportamento foi a presença
dasstringsrelativas aoscódigoselistagensaqui
presentes. Após alguns outros testes, obteve-se
um resultado curioso:
1. O código presente em [1] foi submetido
ao virustotal.com. Resultado: de 55 antivírus
utilizados, 28 detectaram o arquivo como sendo
malicioso.
2. Do código presente em [1], apenas uma
modificação foi realizada: na linha do preg_
replace(),aprimeirarepresentaçãohexadecimal
(“x65”)foisubstituídapelorespectivocaractere
(“e”).Utilizandoovirustotal.com,somente6dos
55 antivírus detectaram o arquivo como sendo
malicioso.
Fica uma sugestão de exercício aos leitores:
utilizar o código presente em [1] e o site
virustotal.com para estudar o comportamento
dos antivírus.
Referências:
[1]Códigocompleto.Disponívelem:http://pastebin.
com/GxNe5DhM. Acessado em: 07/09/2014.
[2] Parte 2 ofuscada. Disponível em: http://pastebin.
com/501LVZa6. Acessado em: 07/09/2014.
[3] Parte 2 desofuscada. Disponível em http://
pastebin.com/sAGqxJP9. Acessado em: 07/09/2014.
Listagem 4 – Execução do programa analise2.php.
Listagem 5 – Segunda parte da string desofuscada.
RICARDO LOGAN
Analista de segurança, formado em ciências da computação e pós-graduado
em segurança da informação. Entusiasta em pesquisas sobre malware e testes
de intrusão. Conhecimento em configuração, hardening e tunning em várias
plataformas, tais como Windows, Linux, Cisco. Contribui para comunidade
Slackware Brasil (Slackshow e Slackzine) e faz parte do Staff dos eventos H2HC,
SlackwareShow e Bsides SP.](https://image.slidesharecdn.com/desofuscandoumwebshellemphp-h2hc-ed-150525141108-lva1-app6892/85/Desofuscando-um-webshell-em-php-h2hc-Ed-9-2-320.jpg)
Desofuscando um webshell em php h2hc Ed.9
- 1. Desofuscando um webshell em PHP POR RICARDO LOGAN Ao ajudar um amigo em uma perícia sobre crimes virtuais em um servidor Web comprometido, nos deparamos com um código que nos deixou intrigados. O código estava ofuscado, então resolvemos desofuscar e ver do que se tratava. Foi então que chegamos a conclusão que era um webshell (backdoor) feito em PHP, escondido dentro do código de uma página de erro 404 (Not Found). O objetivo desse artigo é demonstrar como foi feita a desofuscação do webshell. Um trecho do código encontrado na página de erro 404 pode ser visto no Código 1. preg_replace é uma função que realiza busca e substituição utilizando expressão regular. Ressalta-se o uso da flag “e”, que ocasionará a execução de código presente na string. A string que potencialmente possui código malicioso está presente no segundo parâmetro da chamada da função preg_replace (Código 1). Nota-se que ela está ofuscada. Para fins didáticos, a string ofuscada foi dividida em 3 partes: a ideia é separar a utilização de representação hexadecimal (Partes 1 e 3) dos demais caracteres (Parte 3). Olhando rapidamente para as Partes 1 e 3, aparentemente, nota-se a utilização de caracteres ASCII representados em hexadecimal. A fim de se obter os caracteres ASCII dessas duas partes, foi desenvolvido o programa analise.c, que pode ser observado no Código 2. A Listagem 1 ilustra a execução de tal programa. Bingo! Observando os resultados obtidos na Listagem 1, podemos perceber que realmente as partes 1 e 3 tratam-se de caracteres ASCII representados em hexadecimal. A primeira parte da string nada mais é do que uma chamada para as funções eval, gzinflate e base64_decode. Essas funções serão interpretadas em tempo de execução por causa do modificador “e”, que pode ser observado na chamada da função preg_replace no Código 1. Adicionalmente, ressalta-se que a segunda parte da string será submetida diretamente à função base64_decode, logo percebe-se que ela se trata de dados codificados com Base64. A terceira parte da string ofuscada simplesmente fecha os parêntesis abertos pela primeira e encerra o comando PHP com um“;”. Até agora foi descoberto que a chamada a preg_replace, observada no Código 1, ocasionará a interpretação do código presente na Listagem 2. Observando a Listagem 2, nota-se claramente que a segunda parte da string é um parâmetro passado para a função base64_decode. Logo, essa parte é uma string com dados codificados em Base64. Desta forma, tem-se que o primeiro e último caracteres da Parte 2 são, simplesmente, indicadores para que o PHP interprete o resto dos dados dessa parte como string. A fim de desobfuscar a segunda parte da string, foi desenvolvido o programa analise2.php (Código 3), cujo objetivo é desfazer as ações realizadas pelas funções presentes na Listagem 2. A execução do programa analise2.php pode ser observada na Listagem 4. Código 1 –Trecho de código encontrado na página de erro 404. O código completo pode ser obtido em [1]. Parte 1 – Primeira parte da string ofuscada. Parte 2 – Segunda parte da string ofuscada. Essa parte pode ser vista em sua totalidade em [2]. Parte 3 – Última parte da string ofuscada. Código 2 – Programa analise.c. Código 3 – Programa analise2.php. Listagem 1 – Execução do programa analise.c nas Partes 1 e 3 da string ofuscada.[1]. Listagem 2 – Código a ser interpretado como resultado da chamada a preg_replace observada no Código 1. 21
- 2. Pronto! Agora basta abrir o arquivo webshellfinal.php para ver a string que estava ofuscada (Listagem 5). Analisando a Listagem 2, percebe-se que o código presente na Listagem 5 é o que, de fato, será interpretado pelo PHP. Agora, fica a cargo do leitor estudar o funcionamento do webshell. NOTA DO EDITOR: Durante o processo de revisão deste artigo, notou-se que alguns antivírus consideraram o documento .docx enviado pelo autor como infectado. Após alguns testes, ficou claro que o motivo de tal comportamento foi a presença dasstringsrelativas aoscódigoselistagensaqui presentes. Após alguns outros testes, obteve-se um resultado curioso: 1. O código presente em [1] foi submetido ao virustotal.com. Resultado: de 55 antivírus utilizados, 28 detectaram o arquivo como sendo malicioso. 2. Do código presente em [1], apenas uma modificação foi realizada: na linha do preg_ replace(),aprimeirarepresentaçãohexadecimal (“x65”)foisubstituídapelorespectivocaractere (“e”).Utilizandoovirustotal.com,somente6dos 55 antivírus detectaram o arquivo como sendo malicioso. Fica uma sugestão de exercício aos leitores: utilizar o código presente em [1] e o site virustotal.com para estudar o comportamento dos antivírus. Referências: [1]Códigocompleto.Disponívelem:http://pastebin. com/GxNe5DhM. Acessado em: 07/09/2014. [2] Parte 2 ofuscada. Disponível em: http://pastebin. com/501LVZa6. Acessado em: 07/09/2014. [3] Parte 2 desofuscada. Disponível em http:// pastebin.com/sAGqxJP9. Acessado em: 07/09/2014. Listagem 4 – Execução do programa analise2.php. Listagem 5 – Segunda parte da string desofuscada. RICARDO LOGAN Analista de segurança, formado em ciências da computação e pós-graduado em segurança da informação. Entusiasta em pesquisas sobre malware e testes de intrusão. Conhecimento em configuração, hardening e tunning em várias plataformas, tais como Windows, Linux, Cisco. Contribui para comunidade Slackware Brasil (Slackshow e Slackzine) e faz parte do Staff dos eventos H2HC, SlackwareShow e Bsides SP.