站長資訊網(wǎng)北京時間9月20日,杭州公安發(fā)布《杭州警方通報打擊涉網(wǎng)違法犯罪暨‘凈網(wǎng)2019’專項行動戰(zhàn)果》一文,文章曝光了國內知名PHP調試環(huán)境程序集成包“PhpStudy軟件”遭到黑客篡改并植入“后門”。截至案發(fā),近百萬PHP用戶中超過67萬用戶已被黑客控制,并大肆盜取賬號密碼、聊天記錄、設備碼類等敏感數(shù)據(jù)多達10萬多組,非法牟利600多萬元。
面對如此性質惡劣的網(wǎng)絡攻擊事件,360安全大腦已國內首家完成了針對“PhpStudy后門”的修復支持,能夠有效清除和修復該植入“后門”,第一時間守護用戶的個人數(shù)據(jù)及財產(chǎn)安全,建議廣大用戶盡快前往https://dl.360safe.com/instbeta.exe下載安裝最新版360安全衛(wèi)士進行修復!
案情破獲:自2016年開始潛伏,累計67萬電腦淪為“肉雞”
PhpStudy軟件對于國內眾多開發(fā)者而言,并不陌生。它是一款免費的PHP調試環(huán)境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接使用,具有PHP環(huán)境調試和PHP開發(fā)功能。因為免費公益、簡易方便,現(xiàn)已發(fā)展到一定的規(guī)模,有著近百萬PHP語言學習者、開發(fā)者用戶。
然而,如此綠色無公害的“國民”開發(fā)軟件遭到了黑客的毒手,并且犯罪動機竟然出自黑客的技癢和虛榮心。據(jù)杭州公安披露,黑客組織早在2016年就編寫了“后門”文件,并非法侵入了PhpStudy的官網(wǎng),篡改了軟件安裝包植入“后門”。而該“后門”具有控制計算機的功能,可以遠程控制下載運行腳本實現(xiàn)用戶個人信息收集。
從2016年起,黑客利用該“后門”犯罪作惡一發(fā)不可收拾,大量中招的電腦淪為“肉雞”執(zhí)行危險命令,不計其數(shù)的用戶賬號密碼、電腦數(shù)據(jù)、敏感信息被遠程抓取和回傳。據(jù)統(tǒng)計,黑客已控制了超過67萬臺電腦,非法獲取賬號密碼類、聊天數(shù)據(jù)類、設備碼類等數(shù)據(jù)10萬余組,而此案也是2019年以來,國內影響最為嚴重的供應鏈攻擊事件。
雷霆行動:“后門”涉及多個版本,360安全大腦國內率先支持修復!
值得注意的是,經(jīng)360安全大腦的監(jiān)測發(fā)現(xiàn),被篡改的軟件版本并不單單是官方通告的PhpStudy2016版本中的php5.4版本,而是在PhpStudy 2016版和2018版兩個版本中均同時被發(fā)現(xiàn)有“后門”文件的存在,并且影響部分使用PhpStudy搭建的PHP5.2、PHP5.3和PHP5.4環(huán)境。雖然目前官方軟件介紹頁面中的下載鏈接已經(jīng)失效,但在官網(wǎng)歷史版本中仍能下載到。除了官網(wǎng)外,一些下載站提供的相同版本的PhpStudy也同樣“不干凈”。
360安全大腦的進一步深度溯源,確認絕大多數(shù)后門位于PhpStudy目錄下的“phpphp-5.4.45extphp_xmlrpc.dll”文件和“phpphp-5.2.17extphp_xmlrpc.dll”文件中,不過也有部分通過第三方下載站下載的PhpStudy后門位于“php53extphp_xmlrpc.dll”文件中。通過查看字符串可以發(fā)現(xiàn)文件中出現(xiàn)了可疑的“eval”字符串。
(php_xmlrpc.dll文件中可疑的“eval”字符串)
“eval”字符串所在的這段代碼通過PHP函數(shù)gzuncompress解壓位于偏移0xd028到0xd66c處的shellcode并執(zhí)行。
(解壓shellcode并執(zhí)行)
(部分shellcode)
經(jīng)過解壓之后的shellcode如下圖所示,shellcode中經(jīng)過base64編碼的內容即為最終的后門。
(解壓后的shellcode)
最終的后門請求C&C地址360se.net,執(zhí)行由C&C返回的內容,目前該地址已無法正常連接。
(后門代碼示意圖)
雖然在杭州網(wǎng)警專案組的行動下,已經(jīng)分別在海南、四川、重慶、廣東分別將馬某、楊某、譚某、周某某等7名犯罪嫌疑人緝拿,不過經(jīng)360安全大腦的關聯(lián)分析,目前網(wǎng)絡中仍然有超過1700個存在“后門”的php_xmlrpc.dll文件。
這些通過修改常用軟件底層源代碼,秘密添加的“后門”,可以在用戶無感知的狀態(tài)下,非法獲取用戶隱私數(shù)據(jù),嚴重侵害了人民群眾的合法權益,甚至危害國家安全。而360安全大腦通過多種技術手段防御,可以第一時間感知此類惡意文件的態(tài)勢進程,并國內首家推出了修復方案。同時,360安全大腦特別建議:
1、 盡快前往https://dl.360safe.com/instbeta.exe,及時下載安裝最新版360安全衛(wèi)士,能有效清除并修復PhpStudy安裝目錄下的“后門”文件,全面保護個人信息及財產(chǎn)安全;
2、 請及時修改服務器密碼,其他使用相同注冊郵箱和密碼的網(wǎng)絡帳戶也應該一并修改,消除風險;
3、 不要隨意下載,接收和運行不明來源的文件,盡量到PhpStudy官網(wǎng)(https://www.xp.cn/)下載最新版PhpStudy安裝包進行更新,以防中招;
附錄:部分IOCs
被篡改的php_xmlrpc.dll:
c339482fd2b233fb0a555b629c0ea5d5
0f7ad38e7a9857523dfbce4bce43a9e9
8c9e30239ec3784bb26e58e8f4211ed0
e252e32a8873aabf33731e8eb90c08df
9916dc74b4e9eb076fa5fcf96e3b8a9c
f3bc871d021a5b29ecc7ec813ecec244
9756003495e3bb190bd4a8cde2c31f2e
d7444e467cb6dc287c791c0728708bfd
2018版PhpStudy安裝程序
md5: fc44101432b8c3a5140fcb18284d2797
2016版PhpStudy安裝程序
md5: a63ab7adb020a76f34b053db310be2e9
md5:0d3c20d8789347a04640d440abe0729d
URL:
hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
hxxps://www.xp.cn/PhpStudy/PhpStudy20161103.zip
hxxps://www.xp.cn/PhpStudy/PhpStudy20180211.zip
CC:
www.360se.net:20123
www.360se.net:40125
www.360se.net:8080
www.360se.net:80
www.360se.net:53
bbs.360se.net:20123
bbs.360se.net:40125
bbs.360se.net:8080
bbs.360se.net:80
bbs.360se.net:53
cms.360se.net:20123
cms.360se.net:40125
cms.360se.net:8080
cms.360se.net:80
cms.360se.net:53
down.360se.net:20123
down.360se.net:40125
down.360se.net:8080
down.360se.net:80
down.360se.net:53
up.360se.net:20123
up.360se.net:40125
up.360se.net:8080
up.360se.net:80
up.360se.net:53
file.360se.net:20123
file.360se.net:40125
file.360se.net:8080
file.360se.net:80
file.360se.net:53
ftp.360se.net:20123
ftp.360se.net:40125
ftp.360se.net:8080
ftp.360se.net:80
ftp.360se.net:53
特別提醒:本網(wǎng)內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內容侵犯您的權益,請及時聯(lián)系我們,本站將會在24小時內處理完畢。
