[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。2 L9 [, C1 U4 ^4 a
[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
. b7 C& r5 Q7 f$ `[color=#333333 !important] 5 @; g. }: O1 Q; T# @8 D, g2 I% [" o
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
; e, x8 I R. R/ ]4 H- E9 n+ F [; Q% A0 u3 U; [- D
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。/ n2 J0 P; R T6 B
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
, ^- p* G" q; m[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。( y. x$ i: X8 m3 e: T2 y
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!
- @ f: _% u% H, h
; I, z# t0 P1 ^5 X[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
- W5 ^0 F, F% N[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。2 i w2 B9 T% Q* M
[color=#333333 !important]
% W& E+ [- ]- V& m4 k[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)
, U4 K* e4 g) C: `# Y3 r, V[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。6 k$ }' G5 f8 U$ k; }
[color=#333333 !important]
) v, Q2 s( [; V. _5 F[color=#333333 !important](解压shellcode并执行)
4 O, R5 N# P* F[color=#333333 !important]
" n8 ?* G/ w! z. R6 b0 ~: i[color=#333333 !important](部分shellcode) 0 B; Z+ k2 C a
[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。
* B& A0 e$ U! f( \[color=#333333 !important]
' g" W" b! q7 @% x2 c/ A[color=#333333 !important](解压后的shellcode) 0 D1 X% |/ {: n
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
8 v4 D( x8 [/ {) } `6 n[color=#333333 !important] 
3 v4 m- g2 G- r' f, X- _: Y[color=#333333 !important](后门代码示意图) . }* B7 R! Q, U1 F
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
& ]$ R p _% J. ]2 i[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
5 v! h% v& W4 ]) d" |' I4 {[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;2 c+ s2 k* k) [& O9 p! s
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;1 \) G1 z# s7 S0 ? {4 _: Z/ P
[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。& Q1 R9 \, h: S4 C2 S
附录:部分IOCs
( U( x7 I* W9 r8 b+ w/ u
& z0 h& M- u/ e. E0 s4 F5 \& r被篡改的php_xmlrpc.dll:
! y. d! z% G2 T6 |8 w Y4 X J$ K' a' Y% V! @- D
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5* I3 q8 n0 c- v. Z) x% d
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
' X, b! t0 j4 A! L% X4 Q. ~# ~[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed05 s) q* X% r! p* y4 y0 L5 b
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df9 |1 \' P+ [; U! p$ R2 L5 }
[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c/ E- ]+ v6 z4 n+ c9 |
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
+ J$ Z) v$ w8 u) |[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e/ X- C5 V S+ x1 x
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd# f9 `/ }- N/ l* Y' ^% b
2018版PhpStudy安装程序
/ h. i& W1 M( J; |/ {5 D) Y# o" ]- s! X" Z; X/ d) w
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797! f$ ]: Y6 _% }. T) E, Q+ [; M
2016版PhpStudy安装程序# A" r5 D* ]' i# c1 C
& d2 `# I6 u# ^& d" j p/ ][color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9) N! `6 t$ a4 ^) i0 B# K4 b# p v
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d
6 } G9 F- Z- ?$ e0 i% O URL:3 y/ L7 h- Z7 C( H
+ \; m: P0 e% P2 D! ][color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
+ N' B% F/ }% L$ ?/ G[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip1 _4 y9 Q2 n8 N8 S5 h$ ]
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
5 D# j4 k& I6 b8 v, J) E# j CC:$ @5 W7 D) ~0 x9 V
- d |- t3 `1 n. h[color=#333333 !important]www.360se.net:20123
3 e1 T, I* {: y& \7 B[color=#333333 !important]www.360se.net:401256 P. t* [1 k; X, _( ]3 n
[color=#333333 !important]www.360se.net:8080
6 x. R! M6 ^* j/ X[color=#333333 !important]www.360se.net:80/ ]# X% @; k7 d6 n! k0 s( r% D- A5 {
[color=#333333 !important]www.360se.net:530 C6 U; W6 }& y1 I" B
[color=#333333 !important]bbs.360se.net:20123
+ a4 _1 Y" t9 o* ^" i: V5 L[color=#333333 !important]bbs.360se.net:401252 c9 C! @5 F, M# r7 N8 y6 C7 X. d
[color=#333333 !important]bbs.360se.net:8080$ @' Q. u. C6 _& V3 F- `) y
[color=#333333 !important]bbs.360se.net:80
9 f3 N2 r+ @3 o- j) w& Q4 z[color=#333333 !important]bbs.360se.net:534 U' Y5 `1 `4 y W( v; ~
[color=#333333 !important]cms.360se.net:20123
3 U( L* a0 x) H( r& K) A2 v[color=#333333 !important]cms.360se.net:40125
: P: p4 t/ M% k0 w: N[color=#333333 !important]cms.360se.net:8080- d; ^ n; N% k: g
[color=#333333 !important]cms.360se.net:80* q; g8 U/ `" Z# [7 x2 N
[color=#333333 !important]cms.360se.net:53+ @- i* i) P1 [$ _8 t* `
[color=#333333 !important]down.360se.net:201235 @1 ?, M# V; ^/ S, r$ H
[color=#333333 !important]down.360se.net:40125
7 Q% e; J5 n/ s! W# u! g[color=#333333 !important]down.360se.net:8080: [/ V1 v( f5 F' J* i' `
[color=#333333 !important]down.360se.net:80
$ L+ G/ i( @/ c# j[color=#333333 !important]down.360se.net:533 ?% S1 t* V) h& ~6 Z$ W! j
[color=#333333 !important]up.360se.net:201235 K* A. |: k+ t* v( i
[color=#333333 !important]up.360se.net:401259 n4 e' c: x0 w
[color=#333333 !important]up.360se.net:8080
4 `$ f; d, @; K[color=#333333 !important]up.360se.net:808 q/ g- s3 @( n, `5 O
[color=#333333 !important]up.360se.net:538 Z( F5 O4 Y3 b+ Y
[color=#333333 !important]file.360se.net:20123% B) x4 ^1 U( C& e
[color=#333333 !important]file.360se.net:40125
" J4 E, p2 C' x6 i% H* J& c[color=#333333 !important]file.360se.net:8080' M2 ~8 ^9 {4 _& ^; l
[color=#333333 !important]file.360se.net:80
9 v+ K- q' |+ ~0 W7 I[color=#333333 !important]file.360se.net:53( R5 o1 V2 _) A8 G
[color=#333333 !important]ftp.360se.net:20123, Z' }* S7 w: }7 r2 T9 L
[color=#333333 !important]ftp.360se.net:40125% |, c; c3 p% `3 v. ]4 Z8 v7 X$ S! d
[color=#333333 !important]ftp.360se.net:8080
4 F% h8 ~" I3 K[color=#333333 !important]ftp.360se.net:802 ?. P7 R4 p& e! P; k
[color=#333333 !important]ftp.360se.net:538 I! A5 F/ g* Q/ r1 L) x- @
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
" k: t; K" l, x" y: K: U3 G+ T$ h+ W L
$ D# ?% K9 D3 d& M; S* f精彩推荐! ~0 i! G5 X' P7 d! |
( W( Y- F3 A% u: C- [% F/ V) E
/ a$ b# D5 `- S `% S4 G- y$ T% Z& G8 F! ~+ I! q) X& }0 D0 q3 r
- h* _6 k7 A! d* e/ Q2 d
+ C/ g v0 I1 B( |+ C) q1 ^; d7 a, E0 N$ i O
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=12 Q' I- N1 H" s# l5 X& q6 H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-9-22 22:51:15
