[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。; I( X$ q/ q3 `
[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!
! m" N3 j4 Z' T[color=#333333 !important]
2 P3 X4 Y/ _% h# A% E案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
. _ ^! j! [& F! d' R+ D2 r( h0 `+ J( A7 k' g1 i
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。; w- I7 D5 k7 }! ?% \& u% Q. j# p
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
4 V2 l7 I0 o& v! {' u[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。' Y1 M' ^! ^! S' [: L" e
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!
' Z& W0 n3 y0 E- D, }8 x" ^8 ?) B9 Z$ f$ V8 |$ ~; f+ V Q8 s( T
[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
% ]0 l, C# C) v# w- E1 V( E/ n2 |[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。% z c9 {, t3 ?* i: V
[color=#333333 !important] % o$ f% P: N& x
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) . b3 y: T2 g7 e/ U) Q6 u
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
" P, C4 o/ _) a[color=#333333 !important] * g" @1 ~0 O% I( ~8 Q) t
[color=#333333 !important](解压shellcode并执行) 0 ~+ c+ ]( o% C
[color=#333333 !important] / T a# o7 `' h( u- H g7 I. _1 v
[color=#333333 !important](部分shellcode)
, e! y+ a9 ]& d6 W6 c d& K% N3 C[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。* D6 Y6 L& ^# T# w3 V$ v, B. ^
[color=#333333 !important] 0 q) v- N6 W S% s5 w' d
[color=#333333 !important](解压后的shellcode) 2 K" Q% E0 C& R* ]! [: q
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
, a1 \( P. \$ K- {8 n% x0 g[color=#333333 !important] 
[color=#333333 !important](后门代码示意图)
; E* n# a0 l: o& R. v0 G[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
. }. G7 k! V3 V[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
% ^% p0 D* X2 Z- [! X, [/ I$ P, {[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
& A$ P9 \& l( f# r3 f2 G[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
& H! ~7 j3 w% U1 V[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
+ y- K; ] x. `# X3 u$ ~ 附录:部分IOCs t! [+ F! M, X0 N7 [
7 g, W( i; @( P, A1 W+ t) F$ `1 f
被篡改的php_xmlrpc.dll:# r. `- P% U& u0 `& U j+ h2 b1 Q$ T
2 F4 Y2 s: N, f4 Q+ P( @+ j[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5) c$ S0 D$ A( ^' L, ?9 ~: a: o' O
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
! j) ?* o( @% E% x& y. U, i[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0! T6 O$ a6 B+ E8 C3 W
[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
+ Q* m' x) s( @ a- @( O[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
, Z+ F. }1 m& ~[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244! B4 R8 C4 A' Y
[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e+ F/ `0 m9 I* {; l
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd: z% y b( \, p7 Z+ n8 E
2018版PhpStudy安装程序
U) t- f. V& c; a! p7 _0 ^1 ^/ H9 g9 Y
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797, i1 E1 j2 Z$ Q4 b h; v
2016版PhpStudy安装程序8 ^; C; k9 \! z1 ~2 E7 E' j: s
+ _6 E+ j! S; }# @4 x, x0 j[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9% k/ C% _$ `" \. o
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d7 | v9 m1 D; F1 T( \2 F
URL:
9 y9 h6 s, E( K, F& |8 H4 r! j6 d& s
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
e! z6 {9 m- `: e0 @6 P[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip2 e0 v9 x% `5 f, n9 g
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
- n8 `6 a' f2 ~$ e2 T, Y CC:, A0 u: w" G9 H6 y8 z
' D7 [: A8 y+ R: B) e# F& c[color=#333333 !important]www.360se.net:20123' `. e2 W& H. d# k0 {
[color=#333333 !important]www.360se.net:40125
* S. a Q& R3 s& ?2 }[color=#333333 !important]www.360se.net:8080
0 f {' U1 D$ Y4 j8 L[color=#333333 !important]www.360se.net:801 B: P! P9 [; ^: Q' ]
[color=#333333 !important]www.360se.net:53! P0 L! Z m& s7 y/ i" h
[color=#333333 !important]bbs.360se.net:201238 m J j+ P, D* o% C( N' L: P% \
[color=#333333 !important]bbs.360se.net:401253 a" x8 l3 o0 u# \
[color=#333333 !important]bbs.360se.net:8080. T/ C7 ?8 Z5 v) Y" x) l
[color=#333333 !important]bbs.360se.net:80
% T3 w6 V/ e( g! a8 B: n[color=#333333 !important]bbs.360se.net:538 b: s7 V' g3 W, ^$ e/ m2 G: B: \
[color=#333333 !important]cms.360se.net:20123
2 C2 S: I2 G5 o- s[color=#333333 !important]cms.360se.net:40125
& ^. e3 C+ p9 b/ b[color=#333333 !important]cms.360se.net:8080
& W" P. o/ v4 H[color=#333333 !important]cms.360se.net:80
. |! G- h( c7 K- I0 ~8 z# r) p0 g[color=#333333 !important]cms.360se.net:53' L8 t& Z/ d/ o% M' _" O
[color=#333333 !important]down.360se.net:20123
4 H: L; m! A' p) W[color=#333333 !important]down.360se.net:401257 d" M7 i( M" R }) y8 V0 x# t
[color=#333333 !important]down.360se.net:8080
6 O0 ]3 u, `9 M$ E[color=#333333 !important]down.360se.net:80
x; M* a! U7 x" ?8 r/ x: v% D) R[color=#333333 !important]down.360se.net:535 ?( U% w+ U0 |2 x% r& W( Q
[color=#333333 !important]up.360se.net:20123
- W S1 f4 p/ Q[color=#333333 !important]up.360se.net:401253 f+ _+ B" A0 W4 e% x1 M, b
[color=#333333 !important]up.360se.net:8080$ b3 c; m+ f9 e. H" e
[color=#333333 !important]up.360se.net:80$ F: r6 ?7 q d4 @2 \
[color=#333333 !important]up.360se.net:533 _( O. R& j. d% I4 g
[color=#333333 !important]file.360se.net:20123
+ @; P9 X8 K# n[color=#333333 !important]file.360se.net:401251 P* H- B1 T6 V
[color=#333333 !important]file.360se.net:8080
0 \) K4 |, T. l5 B7 ^2 {[color=#333333 !important]file.360se.net:80" _7 ~6 i! m) u% N3 r( W3 q
[color=#333333 !important]file.360se.net:53
$ F2 P! N3 v9 W1 f; l3 p[color=#333333 !important]ftp.360se.net:20123$ |& l' b4 Q- B! V( }
[color=#333333 !important]ftp.360se.net:40125
( y/ r4 V5 G/ h8 a[color=#333333 !important]ftp.360se.net:8080+ h$ `1 ~" Q: W; }/ g( M
[color=#333333 !important]ftp.360se.net:803 B G B+ ~8 P1 F* l' c$ F& u
[color=#333333 !important]ftp.360se.net:53
1 \ o( Z7 J3 i6 u( `# _ [color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
; d' ]6 `" q% n' p/ Y: F4 [1 n$ p
8 r2 f/ X3 I: g! B: e
! r+ j8 z& f7 X" K. i精彩推荐
2 C! W- Q& L0 L- R9 ]1 n
/ K: n/ h. Y0 M" X# z& S) A% V! j3 v% a# Y3 Z
2 y+ I. P) A' k* S+ r4 m( y! A2 [: g
4 N. @4 [6 s |2 y1 @4 b9 s& q: h$ j$ l% a' R
" H) r/ J+ E) \! O: L9 x
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1; ]2 Y/ T# ]& }& |
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
