Ensiko:具有勒索软件功能的Webshel​​l(可下载)

Ensiko:具有勒索软件功能的Webshel​​l(可下载)

警告

仅可作为研究使用,切勿用于非法活动.

Ensiko简介

研究人员观察到一个名为Ensiko的新PHP Webshell,具有勒索软件功能,可以攻击安装在Linux,Windows,macOS等平台上的PHP。

该恶意软件能够提供远程访问,并通过PHP反向shell接受攻击者的命令。

趋势科技的安全研究人员观察到,该恶意软件会扫描受感染的服务器,查看是否存在其他Webshell,破坏网站,发送大量电子邮件,下载远程文件,披露有关受影响服务器的信息,针对文件传输协议(FTP)的暴力攻击,cPanel和Telnet,覆盖具有指定扩展名的文件等。

它还会删除index.php文件,并使用.htaccess文件将其设置为默认页面,该恶意软件还会将其他工具加载到受感染的系统上。

以下是Ensiko的功能:

特征描述
私有指数从pastebin下载ensikology.php
勒索软件在CBC模式下使用RIJNDAEL 128加密文件
CGI Telnet从pastebin下载CGI-telnet 1.3版; CGI-Telnet是一个CGI脚本,可让您在Web服务器上执行命令。
反向shellPHP 反向shell
迷你shell 2将Mini Shell 2 Webshel​​l有效负载放入./tools_ensikology/
IndoXploit将IndoXploit Webshel​​l有效负载放入./tools_ensikology/
声云显示声云
实时DDOS地图Fortinet DDoS地图
编码/解码编码/解码字符串缓冲区
安全模式混蛋禁用PHP安全模式
禁止上载目录关闭目录索引
邮件群发邮件爆炸
cPanel破解暴力破解cPanel,ftp和telnet
后门扫描检查远程服务器是否有现有的Web Shell
利用细节显示系统信息和版本控制
远程服务器扫描检查远程服务器是否有现有的Web Shell
远程文件下载器通过CURL或wget从远程服务器下载文件
十六进制编码/解码十六进制编码/解码
FTP匿名访问扫描程序搜索匿名FTP
大规模破坏损坏
配置抓取器抓取系统配置,例如“ /etc/passwd”
SymLink链接
Cookie劫持会话劫持
安全 shellSSH Shell
大量覆写将数据重写或附加到指定的文件类型。
FTP管理器FTP管理器
检查Steganologer使用EXIF标头检测图像
管理员将Adminer PHP数据库管理下载到./tools_ensikology/
PHP信息有关PHP配置的信息
Byksw翻译角色替换
自杀自删除

威胁参与者还采用隐写技术来将代码隐藏在图像文件的可交换图像文件格式(EXIF)标头中。

Ensiko界面

Ensiko界面

Ensiko.php下载地址:

雨苁网盘: https://w.ddosi.workers.dev/***/ensiko/
pastebin:
https://pastebin.com/raw/ZLLP0xmc
https://pastebin.com/raw/kFmhaXuq
https://pastebin.com/raw/zCerqmzW

shell密码: RaBiitch

Ensiko.php

该恶意软件受密码保护,它显示带有隐藏登录表单的未找到页面[404]。它使用具有CBC模式的RIJNDAEL_128来加密Web目录中的文件,并附加“ .bak”扩展名。

访问木马地址显示404,木马隐藏登录

virustotal Ensiko木马查杀结果[10/74]

Ensiko查杀结果

详情:https://www.virustotal.com/gui/file/***5c1dd46e3db5/detection

详情参考趋势科技分析文章:
https://blog.trendmicro.com/trendlabs-security-intelligence/ensiko-a-webshell-with-ransomware-capabilities/