🛡️ Glutton是一种高级PHP木马，具备感染大量PHP文件、植入l0ader_shell的特性，其核心功能包括信息窃取（主机信息、宝塔敏感信息）、安装Winnti后门，以及针对宝塔、ThinkPHP等框架的恶意代码注入。

🌍 受害者主要分布在中美两国，涉及信息传输、商务服务、社会保障等行业，表明攻击具有广泛的目标范围。

🕵️ Glutton的攻击框架设计灵活，采用无落地载荷的方式隐匿自身，但其C2通信和PHP样本的隐匿能力存在不足。

💰 Glutton的作者还针对黑灰产的生产系统投毒，例如一个售价高达980美元的刷单抢单系统，意图进行“黑吃黑”，窃取黑灰产发起者的高价值敏感信息，收割黑灰产业务本身带来的巨额经济利益，并收集黑灰产参与者的敏感数据。

🤔 尽管Glutton的投递行为与Winnti组织强相关，但由于其技术上的不完善，XLab采用保守研判方法，将其定性为Winnti组织的新武器。

原创 奇安信X实验室 2024-12-10 13:07 中国香港

简介

2024年4月29日，XLab 大网威胁感知系统捕获一起异常活动：IP 172.247.127.210 正在传播 ELF 版本的 winnti 后门木马。APT 相关告警的出现迅速引起了我们的注意。进一步溯源发现，该 IP 曾于2023年12月20日传播一个VirusTotal 0检测的恶意PHP文件init_task.txt ，这一线索为我们后续的调查提供了重要切入点。

以 init_task 为线索，我们进一步发现了一系列关联的恶意 PHP payload，包括 task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell 等。这些 payload 的设计灵活，既可以单独运行，也可以通过 task_loader 作为入口，逐步加载其他 payload，形成一个完整的攻击框架。框架中的所有代码均在 PHP 进程或 PHP-FPM(FastCGI)进程中执行，确保实现无落地载荷的隐匿效果。至此一个未被安全社区曝光的高级PHP木马浮出水面，基于这个木马具备感染大量 PHP 文件，植入l0ader_shell的特性，我们将它命名为 Glutton，该木马的核心功能包括：

信息窃取：主机信息，包括操作系统版本、PHP版本等；宝塔敏感信息，例如用户凭据、管理接口等。

安装后门：ELF版的 winnti 后门；PHP 后门

代码注入：针对宝塔（BT）、ThinkPHP、Yii、Laravel 等流行 PHP 框架进行恶意代码注入。

Glutton基本流程图如下所示：

引发告警的ELF样本正是由Glutton的init_task组件投递，该样本与 BlackBerry 在 2020 年 4 月 28 日发布的研究报告《Decade of the RATs》中提到的后门 PWNLNX tool，以及 IntezerLabs 于 2020 年 9 月 23 日推文提及的样本几乎完全一致。

目前，大多数安全厂商已将该样本识别为 winnti 后门。作为 APT 组织 Winnti 的经典武器，其 Linux 版本自 2019 年首次被披露以来，尚未有其他黑客团体使用的相关报道。此次活动投入的C2 156.251.163[.]120在其存活时间内，能够正确响应样本的网络请求，与后门建立交互。从样本的专属性和C2的有效性来说，基本能够排除其他黑产团伙利用失活样本干扰归属研判的可能性。

样本的专属性：winnti 后门是 Winnti 组织的标志性工具，未见流传于其他黑产团伙的证据。

C2 的有效性：C2 地址能够正常交互，进一步表明此次活动是真实的攻击行为。

基于 winnti 后门的真实性 和 Glutton的投递行为，从理论上可以研判 Glutton 归属于 APT 组织 Winnti。 不过，从技术分析的角度来看，Glutton样本，网络通信以及基础设施存在隐匿能力不足的问题，有点失水准，具体包括：

C2 网络通信缺乏加密：协议过于基础非常容易被逆向。

Downloader 网络通信未启用 HTTPS：HTTP通信非常容易被拦截或监控。

PHP 样本缺乏加密或混淆：样本以源码形式存在，可直接阅读了解功能。

基础设施的欺骗性不强：活动投入的域名thinkphp1[.]com的伪装程度太低。

综上，尽管 Glutton 的投递行为与 Winnti 组织强相关，但其隐匿能力的不足和技术实现的简单为判断带来了不确定。在归属分析中要充分考虑了网络黑产的复杂性和防御方情报的滞后性，为避免因单一线索而形成误导性结论，我们采用保守研判方法，以 中等信心将 Glutton 定性为 Winnti 组织的新武器。

黑白受害者

以请求C2 cc.thinkphp1[.]com做为被感染的标识，从我们的数据来看，受害者主要分布在中美俩地，涉及信息传输，商务服务，社会保障等行业。

在我们的溯源过程中，还发现了一个有意思的现象，Glutton的作者专门针对黑灰产的生产系统投毒，意图进行黑吃黑。时间回到2024年7月，我们以"b11st=0;"特征在VirusTotal进行狩猎，先后发现了5个被感染的文件，由不同的国家上传到VT。

其中编号1，2，3是单个PHP文件；编号4，5为压缩包，包含一套完整的业务系统。它们之中最特别的是编号4，它是一套网络诈骗常用的刷单抢单系统，恶意代码l0ader_shell位于thinkphp框架中的APP.php。

VT中显示它的Compressed Parents是shuadan109.timibbs.cc_20241026_175636.tar.gz，通过这个线索，我们发现了它的下载页面，售价高达980USDT，约等于人民币7000。

这个所谓的天美论坛上有大量博彩，棋牌，刷单等网络黑灰产的源码，售价不菲。

虽然我们没有花钱去验证VT上的那套代码是否为此论坛的原始代码（7000块，太贵啦！），但Glutton背后的黑客与这个论坛的关系无非存在以下几种可能性：

黑客是论坛用户，购买资源后投毒

黑客入侵论坛，向其网络资源投毒

黑客属于论坛，共同研究带毒的网络资源

无论哪种情况是，都暴露了收割黑灰产的意图，其作者明显具有“赢三次”的野心，具体体现在以下三方面：

窃取黑灰产发起者的高价值敏感信息

收割黑灰产业务本身带来的巨额经济利益

收集黑灰产参与者的敏感数据，为后续钓鱼或社工活动奠定基础

想要了解更多技术细节的读者可以访问XLab Blog，上面详细地分享了我们的发现&分析旅程。

https://blog.xlab.qianxin.com/glutton_stealthily_targets_mainstream_php_frameworks/

或者点击下方的阅读原文，想了解更多内幕信息，或有独家线索的读者，可以给我们留言。

阅读原文

跳转微信打开