[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
! o/ _# t- v* M: z3 z9 l9 H[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
/ P$ i7 w6 o1 o; l[color=#333333 !important] 9 j! f ^' A$ z$ A5 `5 M
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”) {$ u4 c8 `& M
# ]+ z0 ^0 w) u9 t2 V: [
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。# O& Q# Z) J; g' w$ t( G% O f% j
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
% d: w2 u o8 b2 o9 a[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。" x0 y0 X- B/ k p7 ]. W6 M
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!
/ |; h' S3 I* D" j7 Z9 g
8 p% e$ q$ X5 c8 A[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
( h$ N8 h1 @6 ^ t[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。2 m8 I) W, l9 O0 r2 g5 G T
[color=#333333 !important]
: ` P% ?5 U. i0 w7 e h[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) $ }2 u# H0 [3 q2 L. [
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
& E% {( O" G F1 }% Y- g[color=#333333 !important] ! E1 n" c* [2 O# G% h
[color=#333333 !important](解压shellcode并执行) ], j# G8 ?9 Z i @* E. W% I
[color=#333333 !important]
X! }" { J. q+ X2 v[color=#333333 !important](部分shellcode) 5 N, T" s8 B4 ?) z# P) v0 V/ g
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。8 `, s1 V, T# s0 U% Z
[color=#333333 !important]
; }0 F. S6 }4 F* }' i1 L3 {. ?[color=#333333 !important](解压后的shellcode) # \1 ` r y O* H4 _9 B
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。1 n# H# B4 {8 ?# V. e
[color=#333333 !important] 
[color=#333333 !important](后门代码示意图) + x; ^, @9 U- K4 x8 [
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。: m$ T5 Z' e& o q( b9 M: ]* T+ ]. n
[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
$ O L" I' ^, M- I[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;( }! \7 Q% A# {9 X
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
0 B" G! ~% r% h$ T. Y[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。3 j' ?& u- q G9 w' z1 z
附录:部分IOCs
2 F6 t8 V$ W- f2 v
. |- C) `1 V6 d2 c" {6 m1 C被篡改的php_xmlrpc.dll:
0 {" j! P2 u5 E0 H. {/ _3 p
f6 H8 M" M5 K[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5* e; c L( P$ I8 M, ?8 R
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
8 A3 N9 T6 k4 B; {3 }& n[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0( d/ k" c H" [5 z1 X! {
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df$ H) a. ]: }8 l# D/ c
[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
( N2 ]) K1 X, A# ?[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
: x1 O7 r- _% z$ v- S" g& T[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e
8 {( D0 X9 k& p2 g[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd, z$ ^* T# _/ \, Z' r( _: d
2018版PhpStudy安装程序
' L$ p Y8 x; v+ G* d: S! x" ], G2 |: y
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
- }, r& l* p8 Y( S6 h 2016版PhpStudy安装程序
L1 t( U- a# @! k: A
: g$ g! m8 {( v4 Y$ `[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9
9 N8 a& T/ R6 Y1 y[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d4 \! Q. X j- B+ t$ u- |4 g1 r
URL:! v2 R4 t6 `8 L8 E! n) J K
( F z m9 r h* M3 C
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip, p( {: u; `$ H9 u$ H1 |
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip# H7 T: k% x; A/ n
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip! M _: [( `: c, R2 K
CC:1 A8 E1 K8 T8 F( ^
2 F; t! G; L8 _7 a3 g# I# Z
[color=#333333 !important]www.360se.net:20123
1 x/ r* x# s8 g* W- g[color=#333333 !important]www.360se.net:40125
% y8 B$ \/ x' d2 |! Z5 a7 C- C0 b[color=#333333 !important]www.360se.net:8080
* S- l& p+ B4 C. e* A[color=#333333 !important]www.360se.net:80/ H- z2 G) y" q; ~- d
[color=#333333 !important]www.360se.net:53- N0 h' ]4 _, Q4 [+ q, {* F
[color=#333333 !important]bbs.360se.net:201237 L5 f# u+ e0 w& i5 O9 h( G4 z
[color=#333333 !important]bbs.360se.net:40125$ S* {" p" t( i+ h8 w
[color=#333333 !important]bbs.360se.net:80808 w* _: I' y. @- s, k3 d5 c6 k
[color=#333333 !important]bbs.360se.net:80; J, C; U) C2 p R" G
[color=#333333 !important]bbs.360se.net:537 }; y% x: J x0 V
[color=#333333 !important]cms.360se.net:20123
6 B' M, n" j& P- ^- w' g[color=#333333 !important]cms.360se.net:40125
5 h$ J, w( Q2 \& g; J( d[color=#333333 !important]cms.360se.net:8080
' d2 D0 R& ~$ e5 z! x) ]) c[color=#333333 !important]cms.360se.net:80
4 p' s W- ]9 Z- @[color=#333333 !important]cms.360se.net:53" G* g+ X* d8 L' u0 `
[color=#333333 !important]down.360se.net:20123
9 {& W {# V9 R$ b: `9 J: G[color=#333333 !important]down.360se.net:40125! { }: R9 _* K- E+ q1 g, L
[color=#333333 !important]down.360se.net:8080
' X' n2 i" B. m2 l! D1 ~[color=#333333 !important]down.360se.net:80
( T- h" a! N0 o9 S8 v& v# Y7 ~[color=#333333 !important]down.360se.net:53
4 t# w" t6 U @& P7 W[color=#333333 !important]up.360se.net:20123
! E. J5 C7 E& e4 c# ?+ e[color=#333333 !important]up.360se.net:40125- l$ P+ v( h/ e u0 p7 t
[color=#333333 !important]up.360se.net:8080
* Z+ L' {9 Q! U. X[color=#333333 !important]up.360se.net:806 V b2 O T4 k
[color=#333333 !important]up.360se.net:53
8 ]- A! _. x$ s0 i[color=#333333 !important]file.360se.net:20123- W" v. |2 t2 d+ R% ]9 T" Y
[color=#333333 !important]file.360se.net:401252 j: I; Y5 J0 [
[color=#333333 !important]file.360se.net:80801 u* d, J3 y, a& P
[color=#333333 !important]file.360se.net:80
- Z) A5 v# P Z; M/ J" ]4 e[color=#333333 !important]file.360se.net:53) S6 L8 @* \' B: y, h9 E
[color=#333333 !important]ftp.360se.net:201239 N9 X' A6 F. F
[color=#333333 !important]ftp.360se.net:40125' m4 d4 j$ Y" b) x5 v
[color=#333333 !important]ftp.360se.net:8080
9 m: @; n8 }4 `2 N[color=#333333 !important]ftp.360se.net:80% t+ e5 m5 ^% m
[color=#333333 !important]ftp.360se.net:539 L j& s8 d" A9 W
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
' p. k8 `$ O% X' ^3 S9 L' B4 n* p. f
 0 a) `$ A6 v& t' t
精彩推荐
- T* Q! I: l- Q" l( _9 t. X m - L2 w5 e/ T6 r: r3 |
$ Z8 M9 N) d ?6 A" J$ m. `0 x
% F8 o/ z& o. [ X( `, W/ u }0 V( I6 B
+ g S1 q7 D* U: H
1 |% y e; V% O5 f' B$ B
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
- Q+ u$ k, H2 E7 |* s免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
