數十萬PhpStudy用戶被植入後門,快來檢測你是否已淪為「肉雞」!
- 2019 年 10 月 6 日
- 筆記
北京時間9月20日,杭州公安發布《杭州警方通報打擊涉網違法犯罪暨『凈網2019』專項行動戰果》一文,文章曝光了中國知名PHP調試環境程式集成包「PhpStudy軟體」遭到黑客篡改並植入「後門」。截至案發,近百萬PHP用戶中超過67萬用戶已被黑客控制,並大肆盜取帳號密碼、聊天記錄、設備碼類等敏感數據多達10萬多組,非法牟利600多萬元。
面對如此性質惡劣的網路攻擊事件,360安全大腦已獨家完成了針對「PhpStudy後門」的修復支援,能夠有效清除和修復該植入「後門」,第一時間守護用戶的個人數據及財產安全,建議廣大用戶儘快前往https://dl.360safe.com/instbeta.exe下載安裝最新版360安全衛士進行修復!
案情破獲:自2016年開始潛伏,累計67萬電腦淪為「肉雞」
PhpStudy軟體對於中國眾多開發者而言,並不陌生。它是一款免費的PHP調試環境的程式集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟體一次性安裝,無需配置即可直接使用,具有PHP環境調試和PHP開發功能。因為免費公益、簡易方便,現已發展到一定的規模,有著近百萬PHP語言學習者、開發者用戶。
然而,如此綠色無公害的「國民」開發軟體遭到了黑客的毒手,並且犯罪動機竟然出自黑客的技癢和虛榮心。據杭州公安披露,黑客組織早在2016年就編寫了「後門」文件,並非法侵入了PhpStudy的官網,篡改了軟體安裝包植入「後門」。而該「後門」具有控制電腦的功能,可以遠程控制下載運行腳本實現用戶個人資訊收集。
從2016年起,黑客利用該「後門」犯罪作惡一發不可收拾,大量中招的電腦淪為「肉雞」執行危險命令,不計其數的用戶帳號密碼、電腦數據、敏感資訊被遠程抓取和回傳。據統計,黑客已控制了超過67萬台電腦,非法獲取帳號密碼類、聊天數據類、設備碼類等數據10萬餘組,而此案也是2019年以來,中國影響最為嚴重的供應鏈攻擊事件。
雷霆行動:「後門」涉及多個版本,360安全大腦中國率先支援修復!
值得注意的是,經360安全大腦的監測發現,被篡改的軟體版本並不單單是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版兩個版本中均同時被發現有「後門」文件的存在,並且影響部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4環境。雖然目前官方軟體介紹頁面中的下載鏈接已經失效,但在官網歷史版本中仍能下載到。除了官網外,一些下載站提供的相同版本的PhpStudy也同樣「不幹凈」。
360安全大腦的進一步深度溯源,確認絕大多數後門位於PhpStudy目錄下的「phpphp-5.4.45extphp_xmlrpc.dll」文件和「phpphp-5.2.17extphp_xmlrpc.dll」文件中,不過也有部分通過第三方下載站下載的PhpStudy後門位於「php53extphp_xmlrpc.dll」文件中。通過查看字元串可以發現文件中出現了可疑的「eval」字元串。
(php_xmlrpc.dll文件中可疑的「eval」字元串)
「eval」字元串所在的這段程式碼通過PHP函數gzuncompress解壓位於偏移0xd028到0xd66c處的shellcode並執行。
(解壓shellcode並執行)
(部分shellcode)
經過解壓之後的shellcode如下圖所示,shellcode中經過base64編碼的內容即為最終的後門。
(解壓後的shellcode)
最終的後門請求C&C地址360se.net,執行由C&C返回的內容,目前該地址已無法正常連接。
(後門程式碼示意圖)
雖然在杭州網警專案組的行動下,已經分別在海南、四川、重慶、廣東分別將馬某、楊某、譚某、周某某等7名犯罪嫌疑人緝拿,不過經360安全大腦的關聯分析,目前網路中仍然有超過1700個存在「後門」的php_xmlrpc.dll文件。
這些通過修改常用軟體底層源程式碼,秘密添加的「後門」,可以在用戶無感知的狀態下,非法獲取用戶隱私數據,嚴重侵害了人民群眾的合法權益,甚至危害國家安全。而360安全大腦通過多種技術手段防禦,可以第一時間感知此類惡意文件的態勢進程,並獨家推出了修復方案。同時,360安全大腦特別建議:
1. 前往https://dl.360safe.com/instbeta.exe,儘快下載安裝最新版360安全衛士,能有效清除並修復PhpStudy安裝目錄下的「後門」文件,全面保護個人資訊及財產安全; 2. 請及時修改伺服器密碼,其他使用相同註冊郵箱和密碼的網路帳戶也應該一併修改,消除風險; 3. 不要隨意下載,接收和運行不明來源的文件,盡量到PhpStudy官網https://www.xp.cn/下載最新版PhpStudy安裝包進行更新,以防中招。
附錄:部分IOCs
被篡改的php_xmlrpc.dll:
c339482fd2b233fb0a555b629c0ea5d5 0f7ad38e7a9857523dfbce4bce43a9e9 8c9e30239ec3784bb26e58e8f4211ed0 e252e32a8873aabf33731e8eb90c08df 9916dc74b4e9eb076fa5fcf96e3b8a9c f3bc871d021a5b29ecc7ec813ecec244 9756003495e3bb190bd4a8cde2c31f2e d7444e467cb6dc287c791c0728708bfd
2018版PhpStudy安裝程式
md5: fc44101432b8c3a5140fcb18284d2797
2016版PhpStudy安裝程式
md5: a63ab7adb020a76f34b053db310be2e9 md5:0d3c20d8789347a04640d440abe0729d
URL:
hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
CC:
www.360se.net:20123 www.360se.net:40125 www.360se.net:8080 www.360se.net:80 www.360se.net:53 bbs.360se.net:20123 bbs.360se.net:40125 bbs.360se.net:8080 bbs.360se.net:80 bbs.360se.net:53 cms.360se.net:20123 cms.360se.net:40125 cms.360se.net:8080 cms.360se.net:80 cms.360se.net:53 down.360se.net:20123 down.360se.net:40125 down.360se.net:8080 down.360se.net:80 down.360se.net:53 up.360se.net:20123 up.360se.net:40125 up.360se.net:8080 up.360se.net:80 up.360se.net:53 file.360se.net:20123 file.360se.net:40125 file.360se.net:8080 file.360se.net:80 file.360se.net:53 ftp.360se.net:20123 ftp.360se.net:40125 ftp.360se.net:8080 ftp.360se.net:80 ftp.360se.net:53
*本文作者:360安全,轉載請註明來自FreeBuf.COM
