北京時(shí)間9月20日，杭州公安發(fā)布《杭州警方通報(bào)打擊涉網(wǎng)違法犯罪暨‘凈網(wǎng)2019’專(zhuān)項(xiàng)行動(dòng)戰(zhàn)果》一文，文章曝光了國(guó)內(nèi)知名PHP調(diào)試環(huán)境程序集成包“PhpStudy軟件”遭到黑客篡改并植入“后門(mén)”。截至案發(fā)，近百萬(wàn)PHP用戶(hù)中超過(guò)67萬(wàn)用戶(hù)已被黑客控制，并大肆盜取賬號(hào)密碼、聊天記錄、設(shè)備碼類(lèi)等敏感數(shù)據(jù)多達(dá)10萬(wàn)多組，非法牟利600多萬(wàn)元。

　　面對(duì)如此性質(zhì)惡劣的網(wǎng)絡(luò)攻擊事件，360安全大腦已國(guó)內(nèi)首家完成了針對(duì)“PhpStudy后門(mén)”的修復(fù)支持，能夠有效清除和修復(fù)該植入“后門(mén)”，第一時(shí)間守護(hù)用戶(hù)的個(gè)人數(shù)據(jù)及財(cái)產(chǎn)安全，建議廣大用戶(hù)盡快前往https://dl.360safe.com/instbeta.exe下載安裝最新版360安全衛(wèi)士進(jìn)行修復(fù)!

　　案情破獲：自2016年開(kāi)始潛伏，累計(jì)67萬(wàn)電腦淪為“肉雞”

　　PhpStudy軟件對(duì)于國(guó)內(nèi)眾多開(kāi)發(fā)者而言，并不陌生。它是一款免費(fèi)的PHP調(diào)試環(huán)境的程序集成包，集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝，無(wú)需配置即可直接使用，具有PHP環(huán)境調(diào)試和PHP開(kāi)發(fā)功能。因?yàn)槊赓M(fèi)公益、簡(jiǎn)易方便，現(xiàn)已發(fā)展到一定的規(guī)模，有著近百萬(wàn)PHP語(yǔ)言學(xué)習(xí)者、開(kāi)發(fā)者用戶(hù)。

　　然而，如此綠色無(wú)公害的“國(guó)民”開(kāi)發(fā)軟件遭到了黑客的毒手，并且犯罪動(dòng)機(jī)竟然出自黑客的技癢和虛榮心。據(jù)杭州公安披露，黑客組織早在2016年就編寫(xiě)了“后門(mén)”文件，并非法侵入了PhpStudy的官網(wǎng)，篡改了軟件安裝包植入“后門(mén)”。而該“后門(mén)”具有控制計(jì)算機(jī)的功能，可以遠(yuǎn)程控制下載運(yùn)行腳本實(shí)現(xiàn)用戶(hù)個(gè)人信息收集。

　　從2016年起，黑客利用該“后門(mén)”犯罪作惡一發(fā)不可收拾，大量中招的電腦淪為“肉雞”執(zhí)行危險(xiǎn)命令，不計(jì)其數(shù)的用戶(hù)賬號(hào)密碼、電腦數(shù)據(jù)、敏感信息被遠(yuǎn)程抓取和回傳。據(jù)統(tǒng)計(jì)，黑客已控制了超過(guò)67萬(wàn)臺(tái)電腦，非法獲取賬號(hào)密碼類(lèi)、聊天數(shù)據(jù)類(lèi)、設(shè)備碼類(lèi)等數(shù)據(jù)10萬(wàn)余組，而此案也是2019年以來(lái)，國(guó)內(nèi)影響最為嚴(yán)重的供應(yīng)鏈攻擊事件。

　　雷霆行動(dòng)：“后門(mén)”涉及多個(gè)版本，360安全大腦國(guó)內(nèi)率先支持修復(fù)!

　　值得注意的是，經(jīng)360安全大腦的監(jiān)測(cè)發(fā)現(xiàn)，被篡改的軟件版本并不單單是官方通告的PhpStudy2016版本中的php5.4版本，而是在PhpStudy 2016版和2018版兩個(gè)版本中均同時(shí)被發(fā)現(xiàn)有“后門(mén)”文件的存在，并且影響部分使用PhpStudy搭建的PHP5.2、PHP5.3和PHP5.4環(huán)境。雖然目前官方軟件介紹頁(yè)面中的下載鏈接已經(jīng)失效，但在官網(wǎng)歷史版本中仍能下載到。除了官網(wǎng)外，一些下載站提供的相同版本的PhpStudy也同樣“不干凈”。

　　360安全大腦的進(jìn)一步深度溯源，確認(rèn)絕大多數(shù)后門(mén)位于PhpStudy目錄下的“phpphp-5.4.45extphp_xmlrpc.dll”文件和“phpphp-5.2.17extphp_xmlrpc.dll”文件中，不過(guò)也有部分通過(guò)第三方下載站下載的PhpStudy后門(mén)位于“php53extphp_xmlrpc.dll”文件中。通過(guò)查看字符串可以發(fā)現(xiàn)文件中出現(xiàn)了可疑的“eval”字符串。

　　(php_xmlrpc.dll文件中可疑的“eval”字符串)

　　“eval”字符串所在的這段代碼通過(guò)PHP函數(shù)gzuncompress解壓位于偏移0xd028到0xd66c處的shellcode并執(zhí)行。

　　(解壓shellcode并執(zhí)行)

　　(部分shellcode)

　　經(jīng)過(guò)解壓之后的shellcode如下圖所示，shellcode中經(jīng)過(guò)base64編碼的內(nèi)容即為最終的后門(mén)。

　　(解壓后的shellcode)

　　最終的后門(mén)請(qǐng)求C&C地址360se.net，執(zhí)行由C&C返回的內(nèi)容，目前該地址已無(wú)法正常連接。

　　(后門(mén)代碼示意圖)

　　雖然在杭州網(wǎng)警專(zhuān)案組的行動(dòng)下，已經(jīng)分別在海南、四川、重慶、廣東分別將馬某、楊某、譚某、周某某等7名犯罪嫌疑人緝拿，不過(guò)經(jīng)360安全大腦的關(guān)聯(lián)分析，目前網(wǎng)絡(luò)中仍然有超過(guò)1700個(gè)存在“后門(mén)”的php_xmlrpc.dll文件。

　　這些通過(guò)修改常用軟件底層源代碼，秘密添加的“后門(mén)”，可以在用戶(hù)無(wú)感知的狀態(tài)下，非法獲取用戶(hù)隱私數(shù)據(jù)，嚴(yán)重侵害了人民群眾的合法權(quán)益，甚至危害國(guó)家安全。而360安全大腦通過(guò)多種技術(shù)手段防御，可以第一時(shí)間感知此類(lèi)惡意文件的態(tài)勢(shì)進(jìn)程，并國(guó)內(nèi)首家推出了修復(fù)方案。同時(shí)，360安全大腦特別建議：

　　1、 盡快前往https://dl.360safe.com/instbeta.exe，及時(shí)下載安裝最新版360安全衛(wèi)士，能有效清除并修復(fù)PhpStudy安裝目錄下的“后門(mén)”文件，全面保護(hù)個(gè)人信息及財(cái)產(chǎn)安全;

　　2、 請(qǐng)及時(shí)修改服務(wù)器密碼，其他使用相同注冊(cè)郵箱和密碼的網(wǎng)絡(luò)帳戶(hù)也應(yīng)該一并修改，消除風(fēng)險(xiǎn);

　　3、 不要隨意下載，接收和運(yùn)行不明來(lái)源的文件，盡量到PhpStudy官網(wǎng)(https://www.xp.cn/)下載最新版PhpStudy安裝包進(jìn)行更新，以防中招;

　　附錄：部分IOCs

　　被篡改的php_xmlrpc.dll：

　　c339482fd2b233fb0a555b629c0ea5d5

　　0f7ad38e7a9857523dfbce4bce43a9e9

　　8c9e30239ec3784bb26e58e8f4211ed0

　　e252e32a8873aabf33731e8eb90c08df

　　9916dc74b4e9eb076fa5fcf96e3b8a9c

　　f3bc871d021a5b29ecc7ec813ecec244

　　9756003495e3bb190bd4a8cde2c31f2e

　　d7444e467cb6dc287c791c0728708bfd

　　2018版PhpStudy安裝程序

　　md5: fc44101432b8c3a5140fcb18284d2797

　　2016版PhpStudy安裝程序

　　md5: a63ab7adb020a76f34b053db310be2e9

　　md5：0d3c20d8789347a04640d440abe0729d

　　URL：

　　hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip

　　hxxps://www.xp.cn/PhpStudy/PhpStudy20161103.zip

　　hxxps://www.xp.cn/PhpStudy/PhpStudy20180211.zip

　　CC:

　　www.360se.net:20123

　　www.360se.net:40125

　　www.360se.net:8080

　　www.360se.net:80

　　www.360se.net:53

　　bbs.360se.net:20123

　　bbs.360se.net:40125

　　bbs.360se.net:8080

　　bbs.360se.net:80

　　bbs.360se.net:53

　　cms.360se.net:20123

　　cms.360se.net:40125

　　cms.360se.net:8080

　　cms.360se.net:80

　　cms.360se.net:53

　　down.360se.net:20123

　　down.360se.net:40125

　　down.360se.net:8080

　　down.360se.net:80

　　down.360se.net:53

　　up.360se.net:20123

　　up.360se.net:40125

　　up.360se.net:8080

　　up.360se.net:80

　　up.360se.net:53

　　file.360se.net:20123

　　file.360se.net:40125

　　file.360se.net:8080

　　file.360se.net:80

　　file.360se.net:53

　　ftp.360se.net:20123

　　ftp.360se.net:40125

　　ftp.360se.net:8080

　　ftp.360se.net:80

　　ftp.360se.net:53

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。