[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
; o f# T9 w7 w- n2 a+ Q[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
. G; u! F2 a7 |. v! E( U8 P* o+ @, Y$ D2 x[color=#333333 !important] / C3 w& [1 z: I0 \1 T
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
; o$ E2 m! P6 U/ z& o- t2 E$ V) Z7 l. u3 W
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
6 w/ |: E0 }" W. ?[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。% `/ }$ L/ k$ B7 }8 E
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。9 P" c0 r- }1 k- m2 j
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!' l( P3 P8 {* R/ _7 E
8 c5 U m; {+ J1 Q0 ^7 U
[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。) d; k' ]+ \: T/ }" M$ W5 s
[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。
& w6 ]9 x5 n! f% a% F: [# R[color=#333333 !important] ' Q, M' y7 k$ z
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)
& t" K# C/ j+ @) B$ z" ] f[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
3 X# Y4 A o( X[color=#333333 !important]
& s2 M7 B# P h1 Q( w[color=#333333 !important](解压shellcode并执行) : W+ c# g) T# O' A
[color=#333333 !important] & ^# w/ C, b/ u; g2 p: m
[color=#333333 !important](部分shellcode) + \/ {& a7 {1 v9 q1 n5 ?
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。" q+ @7 @ W" O4 N6 U
[color=#333333 !important] * a# I; S; V4 P1 Y* G$ V+ ]" Q% N
[color=#333333 !important](解压后的shellcode)
- C/ j5 p( o' y) B% K[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。! |9 o2 |& a2 G
[color=#333333 !important] 
* M# R! n) g7 ~# @) Z[color=#333333 !important](后门代码示意图)
- B( s/ b# @1 {- I[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
( K& R, ~/ c P% C0 O[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:% y& T" @: J0 H. P" G2 ^4 i6 r1 R
[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;* u4 t. N4 K9 n$ C5 Z( h4 e
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;1 y( c N3 B: {& t3 s
[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
. B! s* \0 k; ]+ u, o$ L) B. W5 h 附录:部分IOCs9 f; M3 ?" X8 d7 U0 @3 s ^
# Y0 W! h5 x$ P+ A( T
被篡改的php_xmlrpc.dll:
% A. U5 }/ \' A* l: V* Y* ]+ O- ]6 m
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
# h1 q6 U5 B/ A. A- _* w[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
4 A! l- b; l( k2 x& Y[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0 o& K3 A* f @8 t. s/ N* L
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
/ r. d' {1 s5 e& \) d6 v8 [! H[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c. W7 b; r: [' u( `
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
- y. C: n0 J5 Y9 ~2 c[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e6 X& u F/ w) S: K! G
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd6 A8 Z7 Y5 ^7 _# @; ` F$ \
2018版PhpStudy安装程序
0 g) Q/ P; s: W3 L; B7 m$ M- o9 K5 M. g$ n l, P* d
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
: f6 E- `* b5 l0 N' Z; ^' R" [% ? 2016版PhpStudy安装程序- N, e- D! T3 w
* i; x" q) h% Q9 H; e3 H[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9
9 ]# O* g3 [* n9 t; g5 h[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d
6 P/ O1 T. c8 b URL:# N1 i D/ s4 w! n0 ], O6 T+ x
" v v' F- K- z, ?. M) W5 w
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
6 O; N" _9 z. W; c[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip/ d2 v: {1 @! h" e5 @8 B8 K4 h
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
. M( s" \0 ]0 b: Z" w* X CC:
3 {+ f b1 P, B, W" _! }6 I* ?3 a7 j) i- p
[color=#333333 !important]www.360se.net:20123; b- x0 b, E$ |, }' g
[color=#333333 !important]www.360se.net:40125
! Y C( H1 j" U& q* ^- J[color=#333333 !important]www.360se.net:8080
' Z, d0 ~' e+ K[color=#333333 !important]www.360se.net:80: _$ C( d2 r% Z3 x# O# N
[color=#333333 !important]www.360se.net:53
, b& [' Z5 _& b/ T. U1 Q[color=#333333 !important]bbs.360se.net:20123$ I, f! f) N: |0 T( S
[color=#333333 !important]bbs.360se.net:40125
3 G% s- V- O& u! Y" W' Q; j# G" y9 ^- O[color=#333333 !important]bbs.360se.net:8080
- l. \! Z" v: g* c8 t[color=#333333 !important]bbs.360se.net:80
% H; p* l- y# p7 f5 J& h- J! B[color=#333333 !important]bbs.360se.net:53* n2 K$ _+ q ?2 X7 r/ S* W+ k8 I
[color=#333333 !important]cms.360se.net:20123
1 k: u% S! u: ]1 G[color=#333333 !important]cms.360se.net:40125& g3 z% e6 }& ^3 p* R+ N
[color=#333333 !important]cms.360se.net:8080
3 h+ V. w- o+ [8 [* g[color=#333333 !important]cms.360se.net:80
5 D9 [2 F+ R) Q e- l% U" @[color=#333333 !important]cms.360se.net:53
" `1 C* R1 w) S+ ~7 Y; `% T[color=#333333 !important]down.360se.net:20123
" F5 d& }. I( i r[color=#333333 !important]down.360se.net:40125
* A% B3 L3 c7 T1 Z+ E6 b0 O8 V[color=#333333 !important]down.360se.net:8080
2 p; g9 ~9 N7 s, H" ][color=#333333 !important]down.360se.net:80
) w6 s! E* { k# z$ Y[color=#333333 !important]down.360se.net:539 ?8 ^2 _' s4 J# N4 h8 n- L! v
[color=#333333 !important]up.360se.net:20123
: x9 T7 ?7 _# U[color=#333333 !important]up.360se.net:40125& g. Z& [( I" s; x& C3 L
[color=#333333 !important]up.360se.net:80800 c; f/ _' u+ n ]( f* ? z
[color=#333333 !important]up.360se.net:80
& I; I* A3 k7 L" A. q/ e3 ?[color=#333333 !important]up.360se.net:530 M# m: o' v; h" ?; O6 b
[color=#333333 !important]file.360se.net:20123: p3 j( J5 y4 _: r; Q
[color=#333333 !important]file.360se.net:40125
& h* R" f( H# x. D: X. _* c. S[color=#333333 !important]file.360se.net:8080
, B+ Q2 o3 K1 g( B[color=#333333 !important]file.360se.net:80
2 ?- O* g: b3 g8 ][color=#333333 !important]file.360se.net:53
& l( e8 r# M ]2 o5 O- a[color=#333333 !important]ftp.360se.net:20123) i( k- R( n' G4 Q) _. }
[color=#333333 !important]ftp.360se.net:40125
$ m7 b1 Q! z$ F[color=#333333 !important]ftp.360se.net:8080* n6 B9 J7 D0 V. P8 {
[color=#333333 !important]ftp.360se.net:80& }0 N9 |1 r8 l
[color=#333333 !important]ftp.360se.net:53
: J" ~. D, ~& U6 a5 n6 _ [color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM s/ R2 W9 W3 p* \% M
! g: ?3 k( f5 \% v
 N/ ?( ~, R3 m0 z
精彩推荐
( V% P2 J) ~# d. @* T1 @ 2 l, x+ {4 f/ ?( u: V
1 v& m# S: ^& \5 m2 F5 ?* Z* k& ?3 q. N: f/ ^
d) B. r4 r- d# {
1 b7 d+ ]- X% a8 d/ T- H: \5 G. `9 ]
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1! Q% ]) C& k2 Y' r Y* ~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
