面对如此性子恶劣的网络攻击事宜,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效打消和修复该植入“后门”,第一韶光守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!

案情破获

自2016年开始潜伏,累计67万电脑沦为“肉鸡”

php后门检测数十万PhpStudy用户被植入后门快来检测你是否已沦为肉鸡 Ruby

PhpStudy软件对付海内浩瀚开拓者而言,并不陌生。
它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直策应用,具有PHP环境调试和PHP开拓功能。
由于免费公益、大略单纯方便,现已发展到一定的规模,有着近百万PHP措辞学习者、开拓者用户。

然而,如此绿色无公害的“国民”开拓软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。
据杭州公安表露,黑客组织早在2016年就编写了“后门”文件,并造孽侵入了PhpStudy的官网,修改了软件安装包植入“后门”。
而该“后门”具有掌握打算机的功能,可以远程掌握下载运行脚本实现用户个人信息网络。

从2016年起,黑客利用该“后门”犯罪作歹一发不可整顿,大量中招的电脑沦为“肉鸡”实行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。
据统计,黑客已掌握了超过67万台电脑,造孽获取账号密码类、谈天数据类、设备码类等数据10万余组,而此案也是2019年以来,海内影响最为严重的供应链攻击事宜。

雷霆行动

后门涉及多个版本,360安全大脑海内率先支持修复

值得把稳的是,经360安全大脑的监测创造,被修改的软件版本并不单单是官方通知布告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被创造有“后门”文件的存在,并且影响部分利用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。
虽然目前官方软件先容页面中的下载链接已经失落效,但在官网历史版本中仍能下载到。
除了官网外,一些下载站供应的相同版本的PhpStudy也同样“不干净”。

360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。
通过查看字符串可以创造文件中涌现了可疑的“eval”字符串。

(php_xmlrpc.dll文件中可疑的“eval”字符串)

“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并实行。

(解压shellcode并实行)

(部分shellcode)

经由解压之后的shellcode如下图所示,shellcode中经由base64编码的内容即为终极的后门。

(解压后的shellcode)

终极的后门要求C&C地址360se.net,实行由C&C返回的内容,目前该地址已无法正常连接。

(后门代码示意图)

虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联剖析,目前网络中仍旧有超过1700个php_xmlrpc.dll文件存在“后门”。

这些通过修正常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,造孽获取用户隐私数据,严重侵害了公民群众的合法权柄,乃至危害国家安全。
而360安全大脑通过多种技能手段防御,可以第一韶光感知此类恶意文件的态势进程,并独家推出了修复方案。
同时,360安全大脑特殊建议:

1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效打消并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;

2. 请及时修正做事器密码,其他利用相同注册邮箱和密码的网络帐户也该当一并修正,肃清风险;

3. 不要随意下载,吸收和运行不明来源的文件,只管即便到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。

附录:部分IOCs

被修改的php_xmlrpc.dll:

c339482fd2b233fb0a555b629c0ea5d5

0f7ad38e7a9857523dfbce4bce43a9e9

8c9e30239ec3784bb26e58e8f4211ed0

e252e32a8873aabf33731e8eb90c08df

9916dc74b4e9eb076fa5fcf96e3b8a9c

f3bc871d021a5b29ecc7ec813ecec244

9756003495e3bb190bd4a8cde2c31f2e

d7444e467cb6dc287c791c0728708bfd

2018版PhpStudy安装程序

md5: fc44101432b8c3a5140fcb18284d2797

2016版PhpStudy安装程序

md5: a63ab7adb020a76f34b053db310be2e9

md5:0d3c20d8789347a04640d440abe0729d

URL:

hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip

hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip

hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip

CC:

www.360se.net:20123

www.360se.net:40125

www.360se.net:8080

www.360se.net:80

www.360se.net:53

bbs.360se.net:20123

bbs.360se.net:40125

bbs.360se.net:8080

bbs.360se.net:80

bbs.360se.net:53

cms.360se.net:20123

cms.360se.net:40125

cms.360se.net:8080

cms.360se.net:80

cms.360se.net:53

down.360se.net:20123

down.360se.net:40125

down.360se.net:8080

down.360se.net:80

down.360se.net:53

up.360se.net:20123

up.360se.net:40125

up.360se.net:8080

up.360se.net:80

up.360se.net:53

file.360se.net:20123

file.360se.net:40125

file.360se.net:8080

file.360se.net:80

file.360se.net:53

ftp.360se.net:20123

ftp.360se.net:40125

ftp.360se.net:8080

ftp.360se.net:80

ftp.360se.net:53