phpStudy隐藏后门预警

释放双眼,带上耳机,听听看~!

Hackingday|议题征集(杭州站)

雷神众测平台内测以来 受到了广大白帽的欢迎 公众号步入正轨后 关注量也是蹭蹭蹭往上飙升 活跃度也是越来越高 在此 我们将举行今年的第一场活动沙龙 Hackingday(杭州站) 我们来了! 我们向广大白帽发出议题征集 欢迎你来发表你在安全圈的研究想法 欢迎你来

1、事件背景

近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供下载的phpStudy安装包进行分析,确认phpStudy2016、phpStudy2018的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。



2、后门分析


通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中,至少有2个版本:

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy20161103
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy20180211
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll


分析过程:
对比官网的xmlrpc源代码可以知道,默认xmplrpc模块的几个初始化函数都是被设置为NULL:


而污染过的版本中“request_startup_func”函数被恶意攻击者自定义:



用户所有的请求都会经过自定义的函数“sub_100031F0”,

进一步分析函数“sub_100031F0”,当攻击者(或普通用户?)发起的HTTP数据包中包含“Accept-Encoding“字段信息时,会进入攻击者自定的流程:



当Accept-Encoding字段信息为“compress,gzip”时,它会触发搜集系统信息功能,如其中函数“sub_10004380”搜集网卡信息:

同时会执行内存php代码:

DUMP出PHP进一步分析:

解密出Base64加密字符串:


通过HTTP包构造工具测试发包,成功触发访问恶意“360se[.]net”域名:

安恒Red Team公开部分内部红蓝对抗框架(文末含上期中奖名单)

我的秘密 不知你想不想听 想听的话… … 请打开上方音乐 邓紫棋的《我的秘密》 放给你听 如果你想看关于Red Team的秘密 请继续往下翻哦 Red Team首次公开部分红蓝对抗框架 公开内容共分14个模块 准备钓鱼攻击 发送钓鱼邮件 发送payload 运行payload命令 维

分析发现,当Accept-Encoding字段信息为“gzip,deflate”时,它会接着判断是否设置“Accept-Charset”字段:

再判断是否设定的特定的“Accept-Charset”字段,在满足特定条件以后可以执行黑客给定的php命令,实现控制服务器的目的,隐蔽性非常高。



3、影响版本



目前测试发现phpStudy2016和phpStudy2018版本存在后门,IOC:

0f7ad38e7a9857523dfbce4bce43a9e9

c339482fd2b233fb0a555b629c0ea5d5

360se[.]net

 

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考:

findstr /m /s /c:”@eval” *.*



4、缓解措施


phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:


https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip

https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip


本文源自微信公众号:雷神众测

紧急漏洞公告丨KindEditor上传漏洞致近百个党政机关网站遭植入

紧急公告: 近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了KindEditor编辑器组件。本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html

人已赞赏
安全工具

漏洞预警丨Winrar目录穿越漏洞

2019-10-14 14:33:27

安全工具

Hackingday|议题征集(杭州站)

2019-10-14 14:33:34

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索