[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
( s# p8 B: i# H2 r$ ^' |2 D[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
9 }# c1 y+ l: @1 }[color=#333333 !important]
# S C2 z1 h9 } n0 P2 _案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
5 N1 |9 X7 A% U; R1 O+ s$ {" g% ]8 I. S+ c5 _' L1 v0 P
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。: W y/ {$ e8 M8 U
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
9 T- C$ Q$ ^' s( G8 u[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
$ p' |7 ]5 f6 Y* S0 I- w4 |7 d雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!
; h% r5 b5 o9 \) w0 a) W! U0 W1 V) Y2 R$ S4 W; ~: j
[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。( _5 m5 O2 v. a& f5 w' [ V
[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。5 X% w$ j+ E; F& Q' b k
[color=#333333 !important] ! F% H5 f+ d0 f! O0 m
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) 5 j2 P/ |6 D, l/ H$ T% M
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。* P) k% ^5 f" N/ w% B. b/ m' v
[color=#333333 !important]
) r5 V. P: A# r5 @& R; o[color=#333333 !important](解压shellcode并执行)
" ~6 o; R [1 O H[color=#333333 !important]
9 z. u2 j$ z: P[color=#333333 !important](部分shellcode) " Y: S1 q$ o$ }/ K
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。5 _8 P$ |3 c2 G# O: |% F
[color=#333333 !important] & B0 g; F' P( K5 G7 V
[color=#333333 !important](解压后的shellcode)
+ Y. z. k' i# k! y- j4 Q[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
0 Z0 S. d/ J& g, U8 Q) [3 Y$ b/ l' x[color=#333333 !important] 
# `% A, X5 [- d; Y1 E1 ^[color=#333333 !important](后门代码示意图)
4 E0 i- [( P7 I m: O C9 F[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。% L* S5 X$ ?3 x- f2 u, H
[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:8 @) E9 d& q+ f+ v, @
[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
! q, R0 ^/ l* h' Q[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;) L% d: g+ \* h% V( e8 t+ P
[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
' q) O! s$ [- ]. `: [1 l 附录:部分IOCs
* P d" K6 c! ?8 |) x
% A% \! g- d* f! F被篡改的php_xmlrpc.dll:; U$ f( [6 h' Z' T' y3 R( z5 D- m
( C: f$ @8 o7 j3 w( c9 d6 _6 T[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
8 m1 p/ F1 `7 P+ K/ ~( P[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
3 ^4 H7 p5 ]) F( P+ o[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed05 G, A/ Y8 K# @( w7 W/ ]
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
+ c9 f' S8 z% Y[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
, C! I7 [) O4 @) G: h% k7 U% V[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
$ v. n% \; g7 o/ A* X. d% a[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e
* R" F' b$ G4 i4 [3 C% k* h: ^[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd
$ l$ F; {0 i' A 2018版PhpStudy安装程序
( }# f0 }: B0 r- s+ F
& H3 t5 I3 g3 [) `0 f3 K[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
# \3 X6 d/ x4 G, m- r, A 2016版PhpStudy安装程序2 j J4 _& E9 D* J+ T; R! D( R
* S1 B! z! Z8 `$ i. ~* F! e& Y& q[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9
9 r: j' z; b/ k- ^! A8 [9 Y8 c2 R[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d, M: _. W7 }3 R4 R
URL:* f$ K! p* v* q& l+ H @
$ D7 \ m2 @9 H4 n# J
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
- y6 @& @- j5 X/ ?2 x( q[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
9 T2 o: I- }' O, s5 o' w[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip5 t$ m4 O; J \, W' g1 z
CC:
+ L3 V( A- p; n4 t% ]) }- x; k( \# ?
[color=#333333 !important]www.360se.net:20123
9 U6 G" q7 g" f[color=#333333 !important]www.360se.net:40125* Q7 s4 |& P+ W) n) k
[color=#333333 !important]www.360se.net:8080! U4 n2 c( _2 E, @9 |
[color=#333333 !important]www.360se.net:80
2 l% d9 _5 o8 |: P[color=#333333 !important]www.360se.net:534 v/ M5 e, d9 h5 {' n/ S9 U! f8 p' J
[color=#333333 !important]bbs.360se.net:20123
2 i' X" M6 I" b4 k6 U5 a1 G z[color=#333333 !important]bbs.360se.net:40125
% {, D0 s& n/ r! o( A5 l[color=#333333 !important]bbs.360se.net:8080
1 P7 S) C% H( t8 `$ b1 _[color=#333333 !important]bbs.360se.net:80
' R* t; P& N9 I& Q6 f[color=#333333 !important]bbs.360se.net:53
' P) |4 d& f. q. r, Z[color=#333333 !important]cms.360se.net:20123: ]$ ~( u/ Q( Q( k
[color=#333333 !important]cms.360se.net:40125
4 H. \6 p% X# _% T# o; B( W/ s# K6 c[color=#333333 !important]cms.360se.net:80805 v; U( |: r, {/ q: }0 \; Q
[color=#333333 !important]cms.360se.net:80
5 }; Y' z+ Z: x& H8 _% s6 O+ O6 G- v( d[color=#333333 !important]cms.360se.net:53
8 }4 D7 `- I+ w( p* N[color=#333333 !important]down.360se.net:20123
4 Z2 q0 ~5 z, C: D# V[color=#333333 !important]down.360se.net:40125# ~# a; e0 g. f+ Z6 w7 ?! ^
[color=#333333 !important]down.360se.net:8080
4 }9 i5 E1 v- i: x4 A[color=#333333 !important]down.360se.net:80
. p( ?4 g7 Y) ]' O# V6 D- L' h[color=#333333 !important]down.360se.net:53$ S1 x( s; w$ E3 C
[color=#333333 !important]up.360se.net:20123
# X9 q( V5 V, m* G[color=#333333 !important]up.360se.net:40125
( `; c! d1 ]% z% ]4 k( K[color=#333333 !important]up.360se.net:8080
5 g2 i# f! E1 X M+ G7 v) ~( k[color=#333333 !important]up.360se.net:804 ^4 i( {# h$ Y" R& k3 g$ E# o l
[color=#333333 !important]up.360se.net:53+ e( K( I6 J6 e* B* G
[color=#333333 !important]file.360se.net:20123
. D- ~3 Z1 J$ b: Y/ l- d/ l2 x[color=#333333 !important]file.360se.net:40125
8 ~4 p0 B& c; p$ r' Q' R0 a[color=#333333 !important]file.360se.net:8080
4 U5 w6 l0 _3 n! N1 Y[color=#333333 !important]file.360se.net:80
& O+ y! l& p/ I0 _$ n5 ?6 H[color=#333333 !important]file.360se.net:53
8 h+ _, H- k+ Y+ I4 O[color=#333333 !important]ftp.360se.net:20123
8 n* M9 u" h6 x; ^; _& H[color=#333333 !important]ftp.360se.net:40125
. m- H8 n, I! Y* |) i) Z[color=#333333 !important]ftp.360se.net:8080
2 w' [0 }/ c/ P- Q V[color=#333333 !important]ftp.360se.net:805 N7 Q3 Y' ^( H! E6 g6 n( @1 K5 `( o f
[color=#333333 !important]ftp.360se.net:53
1 R0 u5 c$ a7 B, D, Z0 x* D- @' d [color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
. @0 u7 x# l4 p$ q
6 q3 F. `( G' p6 ~4 n/ u4 f- D; D
$ V6 J: `" ~' }7 J' s/ ^精彩推荐! P" ~. c6 r. {: D. s$ F
 1 R% t( ` V1 g' E3 V+ T/ t
; J$ n4 l) x2 ^- Q7 B m
" h# A5 V5 G \! M& v0 `7 t) ~& Z' S/ ~' B6 h) O( c
% j# G9 e4 T2 t7 \0 s( n
4 O0 V& D8 }* |# h3 a. O& N来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
0 j% P* D) g$ X& f免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
