Networkforensic

Threat hunting

China Hopper

05 Januar 2019  - Blog Post # 710

China Hopper
China Hopper er en velkendt gammel web-shell og en af de mindste af slagsen. For mere end 10 år siden faldt jeg over ændret jpeg filer fra web-defaced web-servers. Disse indeholdt netop det som Dider Stevens beskriver her som er indlejret PHP tags i comments i jpeg filer.



Typisk vil china hopper gerne benytte b64 encoding for at slører hvad den laver.  Den benytter bla en System.Convert.FromBase64String  Denne kan nemt spottes.



Exploit
China hopper er en gammel web-shell og bruges den, findes der faktisk et exploit fra metasploit til at kunne overtage en china hopper inficeret web-server, hvilket betyder endnu flere kan få adgang til systemet.

StegDetect
Jeg må indrømme at china hopper ikke fylder meget i koden. Den er faktisk meget godt lavet og kører den dag i dag med meget lav AV detection. Jeg kan huske at jeg tilbage i tiden første gang faldt over dette grundet undersøgelser med stegdetect af jpeg filer fra netop defaced web-sites hvor billede filer ikke var restored med. Her faldt jeg over MD5 summer som ikke længere matchede på billede filer fra før systemer var infected.

Anbefaling
Kom nu væk fra de gamle Windows web-servers som 2003 2008 og 2012 og benyt opdateret AV på jeres web-servers.Ved defacement tjek alle jpeg billeder inden du vælger ikke at restore disse. Sæt .NET trust Levels til High

IDS rule frigivet
Tjekker for mulige strings i forbindelse med China hopper samt jeg tidligere at frigivet IDS rules når web sites er blevet defaced sidst nævnte er en rigtig god indikator.

 

Blog posts

Blog post numbers will continue to increment from the old netcowboy web-site.