[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
! W0 |+ v* r. ^8 U; \[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
( p: o0 H" I M" j. W4 c/ Z[color=#333333 !important]
* N8 N( e5 O7 Q: `案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
" i, o0 w+ s3 h" Z( Z% {; w* k( s. e( Z
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
4 w9 k9 {5 W$ r% [2 o[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
! @! c( W) o; z[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
' F+ o6 {% o, p; S9 h雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!3 _9 h5 G2 F. s, c7 L: z* t2 d
/ }, d$ S9 T& q% U: p+ l$ G[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。4 N0 e6 C0 Z2 y$ \1 u1 k6 K2 R
[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。
' ~% R7 t4 Q3 O6 v ]' ]- }3 D4 T[color=#333333 !important] + O/ M9 L- W* ]! \
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)
7 E- V* M/ U1 E( P# Q7 O[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。+ ^3 R# z4 _: l; p
[color=#333333 !important]
- }! Y( [6 r6 d7 n" a4 L0 U0 d[color=#333333 !important](解压shellcode并执行) * n( \; G1 V- j% z
[color=#333333 !important] % D' C7 J6 }/ C. @6 u7 I# Q6 p
[color=#333333 !important](部分shellcode) ! P8 a3 E6 g( P2 z: G6 p* g4 F
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。
7 X5 o& t% J+ k; [& e+ W[color=#333333 !important] ! s, r/ l$ ^* B* s
[color=#333333 !important](解压后的shellcode)
: M. M+ r9 v5 o$ K[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
% g/ I/ R, r" w! S6 D; g" {[color=#333333 !important] 
[color=#333333 !important](后门代码示意图) % d' k& d3 K; r- s5 Y n
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
8 Q7 s6 f. W9 K[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
' C, M$ |* O) r. k2 ][color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;. o% G& G2 A3 u; m: {- G6 V8 o i
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
3 S, v5 ?3 u3 e2 d0 |[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。( N& P; C+ k0 ]/ f2 z8 M) b
附录:部分IOCs
- Y: r# x( V$ R* o- v) u6 ~
& Q! [6 U0 J& r6 N3 M3 E" y8 b被篡改的php_xmlrpc.dll:
5 A U% G# O: G; {* P6 P V0 m+ T
$ o6 Q8 w' K( m3 m- U0 L[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
. J x+ m# A% k% p* a[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
p+ L. P1 T, I3 r- R! C[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed03 F7 Z( z3 ~4 ^/ }
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
/ r- ~9 |, W7 e[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
5 l6 I/ }( q& h: q; E[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec2449 e! G% ]5 g# a2 L8 D
[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e( ]4 l4 ^/ s1 \0 f: d( T* k
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd4 `8 G% w0 t b& ^* O
2018版PhpStudy安装程序
* y* f+ ]; q! `9 U
( I" `+ F6 q, ]& s8 P) Z- n[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
, w8 U" W, O- _ 2016版PhpStudy安装程序0 F8 W {/ x; j2 Z
' o$ z9 E) {: D q* a l
[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e95 @& `- ?* @- ?( I
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d+ I* q" V, I$ y1 k& \7 M% U" `
URL:1 H( j( r( V) h
- i& \# J! k% J. }) `7 a$ w- N( I
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip- H9 |8 k) w+ G. d
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
( i/ Q, L7 ^, \[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip8 W3 J) J+ J0 e/ F
CC:
# o* [3 Z H, F9 G% l1 c5 k2 H, x5 _9 C4 F" w
[color=#333333 !important]www.360se.net:20123
- Z4 a% j! C/ e- c% X' B' l+ X[color=#333333 !important]www.360se.net:40125
# `; M, U" p; ~/ }7 F[color=#333333 !important]www.360se.net:8080' Y- Q) s I0 S( L D
[color=#333333 !important]www.360se.net:80
. w3 m& A M% k7 G9 V& ?. I[color=#333333 !important]www.360se.net:53
9 J- m7 ~; h7 {6 A2 P' Q2 ][color=#333333 !important]bbs.360se.net:201237 W0 n: i1 _7 \8 H
[color=#333333 !important]bbs.360se.net:40125" k- O1 n7 P& d5 v6 r# `& }
[color=#333333 !important]bbs.360se.net:8080+ z [( R$ z \, }
[color=#333333 !important]bbs.360se.net:80( Q7 D+ g4 O) Q7 ^0 M% a$ Y: P7 X
[color=#333333 !important]bbs.360se.net:53
+ L3 Z6 {5 }+ {8 v1 E ~[color=#333333 !important]cms.360se.net:20123
/ v( W4 z. J) E9 L5 B[color=#333333 !important]cms.360se.net:40125
. w! {3 _1 [4 y0 p* ]" Y# v5 g5 f[color=#333333 !important]cms.360se.net:8080
9 S J- D5 L1 x! {! N# n[color=#333333 !important]cms.360se.net:809 f$ V: C6 j" h/ A1 }
[color=#333333 !important]cms.360se.net:53
/ t6 c, G0 C) P3 c[color=#333333 !important]down.360se.net:20123
' y: ]/ Y1 ~, F& v/ {4 i- ]' E[color=#333333 !important]down.360se.net:40125& L( L; c" Q/ z, T1 N/ L
[color=#333333 !important]down.360se.net:8080 u, O2 r. D/ S
[color=#333333 !important]down.360se.net:80
7 F* U" r8 s$ O3 M[color=#333333 !important]down.360se.net:53( K: X( a: h, x( h: u. F
[color=#333333 !important]up.360se.net:20123
! o0 g) v3 U& G; ]. Z! |2 |[color=#333333 !important]up.360se.net:401255 J. E; u( |+ c9 w8 [
[color=#333333 !important]up.360se.net:8080
+ G9 B- W p5 b; H[color=#333333 !important]up.360se.net:80
6 P) E6 C5 V, L+ ]* c[color=#333333 !important]up.360se.net:53/ F* [. [* k7 D( N9 f+ k
[color=#333333 !important]file.360se.net:201235 |7 _) W4 _9 J2 [; U
[color=#333333 !important]file.360se.net:40125
( L9 K$ }) _3 `- h[color=#333333 !important]file.360se.net:8080! A8 C" A/ b7 s
[color=#333333 !important]file.360se.net:80
: Y v* e4 q1 M, C3 `[color=#333333 !important]file.360se.net:53
! N# }: C; l3 u4 a[color=#333333 !important]ftp.360se.net:201237 a7 a7 M2 W# V2 O5 {' F4 c
[color=#333333 !important]ftp.360se.net:40125
) F6 ? z* S: h0 Z( `2 R' P; b7 ][color=#333333 !important]ftp.360se.net:8080( r( M# P g7 j8 b( H9 B% _8 V
[color=#333333 !important]ftp.360se.net:807 W( ]6 x1 N; a4 p& o4 T' ]1 |
[color=#333333 !important]ftp.360se.net:53
V% o% \+ y9 I. m1 r7 X [color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM6 `) Z Y% a; K0 O' D: X& J
( f3 X! Y2 L3 w3 I9 `, y. k 2 m6 t& f: ]9 H+ A- P
精彩推荐9 T# q9 m: P; m( l% \4 Y8 ]# q/ s2 u& t
5 U" ~) `5 `) Z5 z: I. g3 U
: r7 j5 Q$ z% V( h. R" P+ ?
7 B1 E1 m/ O: e+ d% h1 O, O% y
; @ p: {. a, D; c
7 n- G3 @/ X/ e' Q
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
, _0 t0 B$ b8 F* K! d# N免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
