[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。* V0 }' v8 ^* L& z: t& Z; B
[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
/ |) S' k: @' r$ ^4 i9 v! F/ @[color=#333333 !important]
- B: C/ g& s: N案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
, \4 F1 d1 q' S/ s- ~: ^
$ Z F* X4 I) S; ~7 L2 P- m[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
- {- h& }0 @/ B7 r" d[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。+ K* z& ], S2 i0 F) k# _1 x
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
$ J' O; b* y" ~& s& L7 K( Q雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!
/ U/ }* o; i* w: G! Y2 T; W! C
* g. X3 Q+ U' T/ {6 u, E[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
& ?% E1 W9 N3 L1 p5 M) M) ^[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。1 [! m7 o6 L# S
[color=#333333 !important]
$ v3 }9 d' U$ w! u6 O[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) & @" u L8 V# x. ~+ A
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
. D h/ A9 A# ^+ F& V4 r[color=#333333 !important]
6 d3 C, [ K3 ]8 Q[color=#333333 !important](解压shellcode并执行) 2 v5 G( T+ }! i i- u: Y
[color=#333333 !important] " |% E& f# Z+ J$ d1 I( r0 V
[color=#333333 !important](部分shellcode) " N; A) _8 ]" v3 m( ~
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。# H/ @+ G: l: B$ n5 L x
[color=#333333 !important]
8 c, V. B$ h. ]; p8 f( p7 n' v# A4 u$ u+ R[color=#333333 !important](解压后的shellcode) # n. M6 ~! I' z/ K$ a
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。6 q5 b6 m3 c4 \0 l
[color=#333333 !important] 
[color=#333333 !important](后门代码示意图) * n+ J7 ?, G$ I0 ^, ?* @- m
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。7 ?! B4 q t9 z6 m
[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
4 C0 X; O) N7 J, N1 s4 T[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
& h6 F3 N% }2 R3 e9 J[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
+ j2 }( V( ^ {! V+ p7 @[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。* h& v e+ e- v# [/ b: m
附录:部分IOCs
* L& x: z6 d! X2 x* H1 F+ t/ P% ?7 A' Y% @0 B) V0 E! f9 f0 E
被篡改的php_xmlrpc.dll:9 P0 s- Y( r' T9 B' N) |" t; r
e' P) F3 U* k; v5 C/ n
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
5 \ {% A% o1 X. _1 D2 \* K[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9- d) o6 P6 s0 o3 F6 n
[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0
0 k! f7 w8 p1 a( l0 c3 y0 c$ Q+ [[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
4 f; L. r4 o0 h& Z! K; \[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
' ^- A! k+ j: G2 q/ Y- h2 E[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
/ Y( ?5 p; c# v5 O7 W6 ?- ~+ o' ^# p0 o! [[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e! o' \/ K8 l" a- }2 T; g. w$ n
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd8 F+ k, B3 s7 O" T
2018版PhpStudy安装程序/ O3 c5 Z. |) _4 d
5 f- A3 W! B2 i: x[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797. n6 d1 P1 U7 U! k
2016版PhpStudy安装程序
- E& u. S1 l2 s) M& ^$ @! C
) R* z* X' z# v; O7 d5 ^) O9 b[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9 E5 }4 B1 ]4 ?* v
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d
2 Z' I% z7 ?4 A. a4 | URL:
1 I: G( a% l6 Q2 a' u1 N O4 I
2 ]/ O8 I1 ?, g- h[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip# l; j8 @& {# m& O1 R
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip' ]* m; g! c" y" |' m, T
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip: P8 w q. S/ z2 b4 B
CC:
1 g" f0 e& }, {% k% X! D4 x0 J$ k
[color=#333333 !important]www.360se.net:20123
# d T( H8 m, P5 L2 W[color=#333333 !important]www.360se.net:40125( V6 ^9 x) V1 H% Q% e
[color=#333333 !important]www.360se.net:8080) R7 p5 W! ~. D- j9 i+ E& q5 t* ?
[color=#333333 !important]www.360se.net:80
# @9 M" H5 O6 x5 q[color=#333333 !important]www.360se.net:53
' t! H8 \1 X0 U! V& V/ ?[color=#333333 !important]bbs.360se.net:20123
8 H3 m$ t3 o6 i+ i[color=#333333 !important]bbs.360se.net:40125
/ ?; f2 A1 \( n9 T* j' v3 H$ `5 q[color=#333333 !important]bbs.360se.net:8080
2 m9 M5 X* \, z+ C" l( h! i7 d; M; Q1 P[color=#333333 !important]bbs.360se.net:80' d' ?* [. }3 Z& U( |
[color=#333333 !important]bbs.360se.net:53- Y2 f4 r7 c$ s/ ?' c% P
[color=#333333 !important]cms.360se.net:20123
2 ]( p9 n% o; ~/ V4 r8 o% j[color=#333333 !important]cms.360se.net:40125
8 ?6 C, c. F: `5 Q5 k( |, Z+ \" O[color=#333333 !important]cms.360se.net:8080
) C0 W# p' M; P[color=#333333 !important]cms.360se.net:80
# y# e6 c/ V" W[color=#333333 !important]cms.360se.net:53
2 ]6 _" W) r3 f% \2 x( i0 D[color=#333333 !important]down.360se.net:20123
* H9 {: `' V: C0 x! ^% k" X* A[color=#333333 !important]down.360se.net:40125
9 R) }$ d( M1 p9 w9 ~4 g- b[color=#333333 !important]down.360se.net:8080
, f0 \2 Z8 H/ D[color=#333333 !important]down.360se.net:80% G. B" _! Q, N' v8 }( V) I6 v
[color=#333333 !important]down.360se.net:53# _8 y$ |5 h. j+ ^
[color=#333333 !important]up.360se.net:20123
2 L$ g4 `7 Z9 N3 ]5 W( a0 P& l[color=#333333 !important]up.360se.net:40125
' J( Z! |) D& { @4 |[color=#333333 !important]up.360se.net:8080
% w1 C+ c* c1 ^1 i[color=#333333 !important]up.360se.net:80
) I, E: R; q: k7 D [[color=#333333 !important]up.360se.net:53
% L; I: o5 O+ \' ^[color=#333333 !important]file.360se.net:20123
& ?6 w) }& y% L% r) L4 C7 p8 v[color=#333333 !important]file.360se.net:40125
. q% C, o! z. H" o; o; s( o/ S[color=#333333 !important]file.360se.net:8080
3 W/ b9 G: W! n$ ^( W/ ~[color=#333333 !important]file.360se.net:80% M. f7 w4 L. Y$ e) h
[color=#333333 !important]file.360se.net:53
9 b; g& S% a4 n6 ]: k7 ?/ G4 {) v[color=#333333 !important]ftp.360se.net:20123# E# S. C5 b) E( U8 A. @
[color=#333333 !important]ftp.360se.net:401253 x1 h/ N2 E3 C( ^8 O5 b$ n
[color=#333333 !important]ftp.360se.net:8080
0 f0 f) e/ {5 |# h) }0 g' a3 s[color=#333333 !important]ftp.360se.net:80" {1 I, ]; z6 q! ~! \. O! V6 D2 l
[color=#333333 !important]ftp.360se.net:53- p, K: L& u. m' c
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM' Q3 H: w( \; N8 r- @
9 |- P. ~) z9 l
, ?/ N, @8 K8 s. G0 R, F+ m6 b7 k' b精彩推荐
2 v) k: b( k9 _- B) L0 f5 L" n
" |6 a1 n! r! N8 z5 @- \" r6 X2 D3 Y- J, s2 O7 Q
8 q% N( _8 Z4 g/ I5 }8 Z
$ C3 V- m& n+ `# Q3 Q# L, P7 P' M k2 n' c9 o) w
9 [2 s! _" @4 }* K6 Q
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
1 v B$ ?9 ~& h$ X& k" I$ E免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
