新型PHP后门“Glutton”现身，网络犯罪市场成攻击目标！

安全速递  奇安信威胁情报中心XLab近日发现了一种名为“Glutton”的PHP后门程序，该恶意软件被用于针对中国、美国、柬埔寨、巴基斯坦和南非等国的网络攻击，并且攻击目标不仅包括传统的企业和政府机构，还涵盖了网络犯罪分子，这意味着网络犯罪生态系统内部也面临着严重的威胁。

Glutton：功能强大的模块化恶意软件框架

Glutton是一个模块化恶意软件框架，能够感染目标设备上的PHP文件并植入后门。它主要针对流行的PHP框架，例如宝塔（BT）、ThinkPHP、Yii和Laravel。Glutton 的攻击手法十分狡猾，它会利用这些框架中存在的代码注入漏洞、反序列化漏洞或文件包含漏洞等，将恶意代码注入到正常的 PHP 文件中，从而实现隐蔽的攻击。例如，在ThinkPHP框架中，攻击者可以利用框架的缓存机制，将恶意代码写入缓存文件，然后通过文件包含漏洞执行恶意代码。

攻击链：从入侵到持久化

Glutton的攻击链始于利用零日和N日漏洞或暴力破解等方式获取初始访问权限。XLab 的研究人员发现，攻击者还会利用社会工程学手段，例如在网络犯罪论坛上发布带有 Glutton 后门的虚假广告或工具，诱骗其他网络犯罪分子下载和运行。 随后，攻击者会利用名为“task_loader”的主要模块评估执行环境并获取其他组件，包括负责下载ELF后门的“init_task”模块。该后门伪装成FastCGI进程管理器（“/lib/php-fpm”），感染PHP文件并收集敏感信息。值得注意的是，Glutton 采用了一种“无文件”攻击技术，它不会在目标系统上留下任何恶意文件，而是将所有恶意代码都加载到内存中执行，从而增加了攻击的隐蔽性和分析难度。 具体来说，Glutton 利用了 PHP 的eval() 函数和assert() 函数等动态执行代码的功能，将恶意代码以字符串的形式存储在内存中，并在需要时动态执行，从而避免了写入磁盘文件。

Glutton 的模块化架构

Glutton 采用了模块化的架构设计，不同的模块负责不同的功能，例如：

• task_loader:

   负责加载和执行其他模块，是 Glutton 的核心模块。

• init_task:

   负责下载和执行 ELF 后门，收集系统信息等。

• client_loader:

   负责更新网络基础设施，下载和执行后门客户端，实现持久化等。

• PHP 后门模块:

   负责接收和执行攻击者的指令，提供丰富的攻击功能。

这种模块化设计使得 Glutton 具有高度的灵活性和可扩展性，攻击者可以根据不同的攻击目标和需求，选择不同的模块进行组合和配置。

PHP后门：功能齐全，支持多种命令

Glutton的PHP后门功能齐全，支持22种不同的命令，包括切换C2连接、启动shell、下载/上传文件、执行文件和目录操作以及运行任意PHP代码等。攻击者可以通过这些命令，完全控制受感染的服务器，窃取敏感数据、篡改网站内容、发起 DDoS 攻击等。 为了增强隐蔽性，Glutton 的 PHP 后门还采用了多种反检测技术，例如：

• 代码混淆:

    对 PHP 代码进行混淆处理，使其难以阅读和分析。

• 流量加密:

    使用自定义的加密算法对 C2 通信流量进行加密，防止被安全设备检测。

• 隐藏自身:

    修改系统文件，将自身隐藏在系统进程列表中，避免被发现。

攻击目标：网络犯罪分子也成受害者

值得注意的是，Glutton的攻击目标不仅包括传统的“白帽子”受害者，还包括网络犯罪资源运营者。攻击者通过入侵网络犯罪论坛，在受感染的企业主机上植入后门，进而对其他网络犯罪分子发起攻击。这种“以黑吃黑”的攻击策略，使得网络犯罪生态系统内部也充满了风险和不确定性。  XLab 的研究人员推测，攻击者可能有多种动机：

• 窃取网络犯罪分子的数据和资源:

    例如，窃取他们的数据库、攻击工具、漏洞利用代码等。

• 破坏网络犯罪分子的基础设施:

    例如，破坏他们的服务器、网站、僵尸网络等。

• 干扰网络犯罪分子的行动:

    例如，干扰他们的攻击活动、勒索活动等。

• 获取网络犯罪分子的信任:

    通过攻击其他网络犯罪分子，获取他们的信任，进而渗透到更深层次的网络犯罪组织中。

幕后黑手：疑似Winnti APT组织

XLab初步认为Glutton的幕后黑手可能是Winnti（APT41）APT组织，这是一个长期活跃的中国APT组织，以其高超的攻击技术和广泛的攻击目标而闻名。Winnti 组织通常针对政府机构、国防工业和科技企业等高价值目标，窃取敏感信息和知识产权。  然而，Glutton 的一些特征与 Winnti 组织以往的攻击工具有所不同，例如代码风格、隐蔽技术等，因此 XLab 的研究人员还无法完全确定 Glutton 的幕后黑手。

安全建议：

• 及时更新PHP框架和相关组件，修复已知漏洞。

    例如，ThinkPHP官方已发布安全更新，修复了多个可能被Glutton利用的漏洞，建议用户尽快升级到最新版本。

• 加强服务器安全防护，部署入侵检测和防御系统。

    例如，使用Web应用防火墙（WAF）拦截恶意请求，使用入侵检测系统（IDS）检测异常网络活动，使用安全信息和事件管理系统（SIEM）进行安全监控和分析。

• 对PHP框架进行安全配置，禁用不必要的模块和功能。

    例如，禁用eval() 函数和assert() 函数，限制文件上传功能，过滤用户输入，开启安全模式等。

• 定期进行安全审计，及时发现和修复安全漏洞。

    可以使用专业的安全工具或服务对PHP应用程序进行代码审计和漏洞扫描，例如 RIPS、Fortify SCA 等。

• 加强安全意识培训，提高员工的安全意识和技能。

    例如，教育员工不要轻易点击可疑链接或下载不明来源的程序，定期进行安全演练等。