[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。5 f8 s, }" N& z% \
[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!2 v6 a/ ?9 q6 z3 G" b& y) a/ e. C
[color=#333333 !important] t# z0 p/ o% g9 ^( ^
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
/ n1 u6 u4 ~6 w+ ^3 i- A' @9 K( w$ K
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
) A7 [2 h" K3 i" P4 w9 n+ J6 a1 P[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。/ Y4 E; Y7 J/ F; P4 w0 F+ o: [
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。0 z# ?* g, c) m5 ], e- k
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!) \6 Q0 v4 B! A, D0 v/ X
: E! R# f% E+ Z[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。$ P4 l, |" N% U1 B' k6 W
[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。+ j7 U/ |6 j& N7 g' G
[color=#333333 !important]
2 j9 ]8 m; R+ Y( ]2 i[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)
5 C+ N" j! n% a) N% M1 u[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。! s T( R( j; P m4 d6 R: F
[color=#333333 !important]
% c0 ?# l8 i; k; ] B[color=#333333 !important](解压shellcode并执行) 9 d! Q, ~5 K2 [! N
[color=#333333 !important]
9 J6 {: S. O* A6 j[color=#333333 !important](部分shellcode)
7 @0 L6 A% x3 N# v, ?# r[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。 f6 p9 h. i# @. z, k4 i5 U' x; u I
[color=#333333 !important]
# F! m Z& f" N7 {) i[color=#333333 !important](解压后的shellcode)
+ s6 M& P2 U8 q! ]% p3 c0 L[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。/ x3 O. \3 ?+ G0 S l
[color=#333333 !important] 
* f2 |8 ^: J5 l+ T6 E. f: q7 z[color=#333333 !important](后门代码示意图) 9 h2 j. K9 P- \1 {
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。9 \; }4 T% |# p( L
[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
/ L3 b$ a: q1 h7 Y% [# {) g$ I[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
6 H3 g" q. `/ T+ P% b+ e% O; D[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;" E3 S& @' h8 {! n5 e) O2 m0 q
[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。9 P7 L* K, _8 b$ I. _
附录:部分IOCs
- B9 w# D8 D w! W: T+ O
" f; b4 D; Y8 ~被篡改的php_xmlrpc.dll:8 ]' L, V9 K% g
; H( E: z4 P( D/ Z8 s2 | X6 N[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5# Y3 O0 ~' _$ x
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e98 g' t0 Y5 Z6 S+ l: |7 S
[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed09 ]& |: ?0 I1 O) J- l. {4 j# x
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df. f4 B! l/ ~( Y5 F! F4 M
[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c7 C. Z- a9 m! u, B
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
8 J2 y8 s& h. t! }1 L- @: @) }7 j[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e W+ ^9 A; g9 m0 y! T* H
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd
' g9 t$ @: v+ B& U( Y6 b& \0 d) _% l' X 2018版PhpStudy安装程序
" h% t; l4 A9 |* ?6 |
}! b& o9 I, A0 b+ c2 R[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797* b" W; c4 w% z7 ?# d; O" {
2016版PhpStudy安装程序
I+ Y1 v7 V$ [0 Q9 n
/ }7 K+ a. B+ @8 t" M7 ^ C% D+ w[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9
+ t0 p) V" \- z5 A- H# I7 f& ][color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d
7 {- R8 `. G* X URL:1 L, N2 ]' f( c
* R: j, A$ `5 ?4 y
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
) l' Y5 Z9 z4 i6 k' f4 o L$ N[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
7 j$ q R7 Y7 X; ]! Z- w[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
# R' `- }/ b. N" {1 B" I% G1 r CC:
2 T- W9 C' Y1 A& z& }( Q6 ?6 c9 {8 q6 e9 k5 x0 L V7 W: B3 J% _
[color=#333333 !important]www.360se.net:20123" C) t: x& u8 U! m, d9 h% y
[color=#333333 !important]www.360se.net:40125
1 t1 k/ p& J, h8 J* x[color=#333333 !important]www.360se.net:80804 C. L7 H' K( T+ e! I
[color=#333333 !important]www.360se.net:80
4 m$ ?! I+ I; c: H) M1 d[color=#333333 !important]www.360se.net:535 Z% I; ~2 E3 z2 e9 Q7 h
[color=#333333 !important]bbs.360se.net:201230 l$ R6 | s& [
[color=#333333 !important]bbs.360se.net:401259 g# k. Z. b/ g: ?) ^& Q
[color=#333333 !important]bbs.360se.net:8080& `5 Q/ [1 C( J9 }
[color=#333333 !important]bbs.360se.net:802 r; B N# }% A1 ]
[color=#333333 !important]bbs.360se.net:53
: V( B& D* Z/ `$ B[color=#333333 !important]cms.360se.net:20123+ e2 i7 p2 p( {) ~
[color=#333333 !important]cms.360se.net:40125$ F/ Z4 R3 W; J9 K+ K
[color=#333333 !important]cms.360se.net:8080' d# O$ q2 @+ ^7 R8 N( R
[color=#333333 !important]cms.360se.net:80) A( N( H. J+ n; b& `
[color=#333333 !important]cms.360se.net:53
& y# p+ t/ i& {: W' `[color=#333333 !important]down.360se.net:20123
, i9 v: K+ w5 E, w0 n[color=#333333 !important]down.360se.net:40125
& F1 j/ R7 _) M m[color=#333333 !important]down.360se.net:8080
' T6 Q+ n. Y5 d. j9 ~[color=#333333 !important]down.360se.net:80
( O' c! G+ \- r[color=#333333 !important]down.360se.net:53
. G1 D8 P3 c2 {6 @) d[color=#333333 !important]up.360se.net:20123
5 r* y3 R1 R) e& B1 ]7 j* J4 b+ E& e[color=#333333 !important]up.360se.net:40125
k* x0 B$ i4 G- D& ^[color=#333333 !important]up.360se.net:8080% o8 E& f3 b" x5 A8 S
[color=#333333 !important]up.360se.net:80
& [/ v# j- C. H0 H[color=#333333 !important]up.360se.net:53: E' f& m& |% ^( i) {; V
[color=#333333 !important]file.360se.net:20123/ W: h/ X5 t: E; \0 s
[color=#333333 !important]file.360se.net:40125' \' t: k" ]8 e& V
[color=#333333 !important]file.360se.net:8080
/ B! F" s- r; m' C[color=#333333 !important]file.360se.net:803 E3 _2 N/ H4 g* w5 i* k* W5 ]
[color=#333333 !important]file.360se.net:53 B0 M$ z2 o0 ~6 ~3 f/ Z
[color=#333333 !important]ftp.360se.net:20123( M1 `9 ^. V* C/ K. R
[color=#333333 !important]ftp.360se.net:40125& z9 q2 U$ h" v, I
[color=#333333 !important]ftp.360se.net:80801 _3 H4 H: }, b
[color=#333333 !important]ftp.360se.net:80 U8 r7 P5 c$ ^, T
[color=#333333 !important]ftp.360se.net:53" B5 D. j, J8 e; c9 G; l
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
: Y8 t* _, w* r
/ W2 T* C! e( M( G$ y o- n 5 p3 H7 L& q i: h
精彩推荐; n+ {$ `6 k+ L, u2 P
 5 u: X) V6 {2 K0 u1 ]6 z' J" d9 v
0 g, G7 c" E' w1 F1 N: [! s$ F7 o w: `: {' L/ n. I
9 r% r+ g4 Q( p. X2 V# y/ i
& U* U& Y% J5 H5 x o
/ W1 N5 @! _7 [" O! x5 O
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
* N g6 C0 B' T免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
