[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
4 Q& P6 g. j: v# m0 Q1 d( w% k[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!9 d( `9 p" r2 w" l
[color=#333333 !important] ! h: M' W0 _4 X c5 b( y4 s( r B
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”5 ]; c/ [' i4 \
1 B; k) A* z6 N, n
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
8 G; E) n; x f4 h* J: v8 U[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。+ Y) h! G* \& D4 } e+ J1 l
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。2 I' T2 a) B3 h# u; w9 v, F, R
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复! H5 J( Z3 ^) b
1 G$ I% U2 b* T1 v6 F: T$ Y# l2 z[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
3 ^5 F; Q: A5 g[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。3 T" N" f( i* B) v; D1 {6 s
[color=#333333 !important]
0 [. v# N( J; z7 C[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) 0 V, q( s. y; b8 R1 B8 r+ h
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
- m" G9 U+ T0 k7 e$ h4 f, q/ X F[color=#333333 !important] + R: ?- y0 y& P$ C- N/ c
[color=#333333 !important](解压shellcode并执行)
* F, s- T5 Q! Z[color=#333333 !important]
; t! R/ u( K* O0 w! z8 E& I: g5 z w, m[color=#333333 !important](部分shellcode)
: C$ ~2 u) D' ^( Y[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。
7 h8 F- f( x( a- O- y. [4 l[color=#333333 !important] $ f6 H- N. X6 U* {# I% S2 o( ~
[color=#333333 !important](解压后的shellcode)
n. W/ E+ v" o' t* {- ]4 `[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。% c6 q! F4 W/ c4 o! j
[color=#333333 !important] 
[color=#333333 !important](后门代码示意图) & A; r8 \- i( {! Z
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
- y; H: q( v2 i[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
9 @% k1 d; R; C% r# X[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
! j! W: Y# g. A: K[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
0 d- | E. \# G! P$ K0 f[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
' u2 T0 R( W$ B: R/ H 附录:部分IOCs! C: Y' \; o: G5 \! A
: U* Z K$ n0 W) _& E) }被篡改的php_xmlrpc.dll:7 F8 T8 Y1 e" X _! ]2 `( W
/ H) \9 f3 a! \; E+ i+ \ [- f1 }
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
' c4 P( j9 }" h# E' k& r. N[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e94 N3 M. F3 M% Z3 Z
[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0; l+ \1 H0 `4 X& I1 G' M
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
' `1 ^$ r) L5 J4 G$ m K1 F; S[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c. K; F; i6 |7 \& L' d& }
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244% a& D7 l1 G; z: s5 O9 r6 j
[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e
6 W. K1 u3 e* W" y3 W/ {[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd7 t# W* L" `4 U4 l$ i( Q
2018版PhpStudy安装程序7 d5 W, V4 B' @+ M8 Y
& L# o5 u& Y% r+ c2 r& @ d
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
3 z# { j1 }6 P5 m4 `+ C6 S 2016版PhpStudy安装程序
9 H# ~5 ?$ d0 ]" H9 k- @! ?* B9 v% h( T0 _2 A I% Y
[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9( ?0 _% d1 }' V
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d. k2 j+ f! D+ G" R3 }2 P
URL:/ _8 [ _6 Y* H- d
8 ~& T" b& G5 C& W3 x/ k[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip- _# X8 a9 K8 X- p1 \
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
& o$ m1 J5 m. f7 S4 h: p/ K' s[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip' y3 h/ a/ _2 Q3 p) ~* E |
CC:5 z/ R3 ~# M2 Q+ h! n9 @6 Z b
+ U0 y) u% o) I4 P[color=#333333 !important]www.360se.net:20123
9 T4 O7 Y3 b B4 r1 j) q. _[color=#333333 !important]www.360se.net:40125
) s. r9 t3 |' h[color=#333333 !important]www.360se.net:8080
' H2 }1 I$ }4 j {[color=#333333 !important]www.360se.net:80
3 m7 Q9 E) ^+ X$ V; B6 T% P[color=#333333 !important]www.360se.net:53& y$ ?. [) g5 e6 g0 g
[color=#333333 !important]bbs.360se.net:20123
0 e/ V1 N8 s# }[color=#333333 !important]bbs.360se.net:40125( p" F; z. f9 g, v4 J& v- F
[color=#333333 !important]bbs.360se.net:8080
' i% e% r" [ z2 r- Z( t6 a! D[color=#333333 !important]bbs.360se.net:80# ]5 P4 q! v" f$ R$ W3 c0 v
[color=#333333 !important]bbs.360se.net:53
' M# m; k2 S8 w; S" @, N[color=#333333 !important]cms.360se.net:20123
3 d) J$ ^$ @( j; k7 G8 a[color=#333333 !important]cms.360se.net:401258 {5 h6 j! P, i* A
[color=#333333 !important]cms.360se.net:8080
3 l: E. M, v# A) O[color=#333333 !important]cms.360se.net:80' ]' Q. I, q7 y3 |( x) T/ {, U# c2 Q
[color=#333333 !important]cms.360se.net:53- c% f! ?' X2 q. _% Q# k8 t- K6 l# l
[color=#333333 !important]down.360se.net:20123
* i. T9 B) G$ J, m2 H[color=#333333 !important]down.360se.net:401251 O8 _0 B! a* J& x1 Q# a
[color=#333333 !important]down.360se.net:8080
5 w& n* A5 x: |( F5 {[color=#333333 !important]down.360se.net:80. s. ]0 `" l. a) x; F1 W& `) s
[color=#333333 !important]down.360se.net:53
* V3 T* N! a* ?2 e" c% c* w: X1 Q[color=#333333 !important]up.360se.net:201231 `. m2 M3 H7 {3 p3 S1 @& e/ K
[color=#333333 !important]up.360se.net:40125
6 I r# I/ Y% B# l0 \[color=#333333 !important]up.360se.net:80809 s/ c, X5 x; m5 n8 C' @
[color=#333333 !important]up.360se.net:802 d1 a6 L4 p1 L( H8 J W% E
[color=#333333 !important]up.360se.net:53
& ~: Y0 H4 `: Z8 T[color=#333333 !important]file.360se.net:20123( c4 l6 t% ~% m2 P4 U) S
[color=#333333 !important]file.360se.net:40125) Y i4 f# E1 g" y1 Y0 U' }
[color=#333333 !important]file.360se.net:8080
3 I7 g X& r* O0 ^) G$ g5 y2 b[color=#333333 !important]file.360se.net:80& O( C6 K) E9 e- | }8 k# [/ `
[color=#333333 !important]file.360se.net:53+ [. V+ ?! o, z
[color=#333333 !important]ftp.360se.net:20123
. Q; v$ H- S5 P* O[color=#333333 !important]ftp.360se.net:40125$ X7 j$ ]1 J+ k
[color=#333333 !important]ftp.360se.net:8080
' L% \' N' Z) E[color=#333333 !important]ftp.360se.net:80
3 m% ~$ L, k) W6 l; ~[color=#333333 !important]ftp.360se.net:53$ i3 r8 }1 O8 j6 Z3 u
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
" V! x4 y) D3 |4 e3 R& N6 n( y, `1 I5 R9 h8 n* ]6 C/ z3 N
 6 D+ D) M/ u0 Z) W# \, Q7 a' F
精彩推荐# |4 D: B5 k( ]9 h# f5 o7 F, t' F
 , u, C) Y4 Y c4 V
7 S' C- L7 B, I* N2 G# {* X- R! Q
: b0 ~# J8 e# j% L8 I3 Q7 g
0 ?* L0 O9 u! X6 N; N7 c( Z/ i$ Z
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
8 r5 f; r0 b! O$ H9 W免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
