China Interruptor

China Chopper es un shell web de aproximadamente 4 kilobytes de tamaño, descubierto por primera vez en 2012. Los actores chinos malintencionados suelen utilizar este shell web, incluidos los grupos de amenazas persistentes avanzadas (APT), para controlar de forma remota los servidores web . Este shell web tiene dos partes, la interfaz del cliente (un archivo ejecutable ) y el archivo de host del receptor en el servidor web comprometido.

China Chopper tiene muchos comandos y funciones de control, como una opción de ataque de fuerza bruta de contraseña , ofuscación de código , administración de archivos y bases de datos y una interfaz gráfica de usuario . ^[1]^[2]^[3]^[4] Originalmente se distribuyó desde un sitio web www.maicaidao.com que ahora está inactivo. FireEye reveló que el cliente de este shell web está programado en Microsoft Visual C ++ 6.0

China Chopper se utilizó en ataques contra ocho proveedores de alojamiento web australianos que se vieron comprometidos debido al uso de un sistema operativo no compatible ( Windows Server 2008 ). Los piratas informáticos conectaron los servidores web a un grupo de minería de Monero , mediante el cual extrajeron aproximadamente 3868 AUD de Monero. ^[5]

En 2021, una versión de la cáscara web programado en JScript es utilizado por avanzada amenaza persistente grupo de hafnio para explotar cuatro de día cero vulnerabilidades en Microsoft Exchange Server , en la violación de datos 2021 de Microsoft Exchange Server . Este shell web se elimina cuando se explota la vulnerabilidad, lo que permite a los atacantes cargar un programa que se ejecuta con privilegios de administrador . ^[6] Con solo la dirección del archivo .aspx que contiene el script, una solicitud HTTP POSTse puede hacer en el script con solo un comando en la solicitud, lo que hace que el script ejecute el comando inmediatamente usando la función 'eval' de JScript, lo que permite a los atacantes ejecutar código arbitrario en el servidor. ^[7]

Referencias

^ "Chopper de China" . NJCCIC . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .
^ "¿Qué es el China Chopper Webshell y cómo encontrarlo en un sistema comprometido?" . 28 de marzo de 2018. Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .
^ "Rompiendo el Shell Web de China Chopper - Parte I« Rompiendo el Shell Web de China Chopper - Parte I " . FireEye . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .
^ "Rompiendo el shell web de China Chopper - Parte II« Rompiendo el shell web de China Chopper - Parte II " . FireEye . Archivado desde el original el 7 de enero de 2019 . Consultado el 22 de diciembre de 2018 .
^ Stilgherrian. "Hosts web australianos golpeados con un Manic Menagerie de malware" . ZDNet . Archivado desde el original el 31 de enero de 2019 . Consultado el 17 de marzo de 2019 .
^ "ProxyLogon" . ProxyLogon (en chino) . Consultado el 16 de marzo de 2021 .
^ "Los ataques cibernéticos de Exchange se intensifican a medida que Microsoft rueda la solución con un clic" . Threatpost.com . Consultado el 16 de marzo de 2021 .

Este artículo de seguridad informática es un resguardo . Puedes ayudar a Wikipedia expandiéndolo .

[1] "Chopper de China" . NJCCIC . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .

[2] "¿Qué es el China Chopper Webshell y cómo encontrarlo en un sistema comprometido?" . 28 de marzo de 2018. Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .

[3] "Rompiendo el Shell Web de China Chopper - Parte I« Rompiendo el Shell Web de China Chopper - Parte I " . FireEye . Archivado desde el original el 13 de enero de 2019 . Consultado el 22 de diciembre de 2018 .

[4] "Rompiendo el shell web de China Chopper - Parte II« Rompiendo el shell web de China Chopper - Parte II " . FireEye . Archivado desde el original el 7 de enero de 2019 . Consultado el 22 de diciembre de 2018 .

[5] Stilgherrian. "Hosts web australianos golpeados con un Manic Menagerie de malware" . ZDNet . Archivado desde el original el 31 de enero de 2019 . Consultado el 17 de marzo de 2019 .

[6] "ProxyLogon" . ProxyLogon (en chino) . Consultado el 16 de marzo de 2021 .

[7] "Los ataques cibernéticos de Exchange se intensifican a medida que Microsoft rueda la solución con un clic" . Threatpost.com . Consultado el 16 de marzo de 2021 .

[1]