没有所谓的捷径
一切都是时间最平凡的累积

【安全预警】phpStudy安全风险,隐藏后门警报

本文最后更新:2019年9月23日,已超过1648天未更新,如果文章内容失效,请留言反馈本站。

1、事件背景

近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供下载的phpStudy安装包进行分析,确认phpStudy2016、phpStudy2018的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。
2、后门分析

通过分析,后门代码存在于\\ext\\php_xmlrpc.dll模块中,至少有2个版本:

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy20161103 php\\php-5.2.17\\ext\\php_xmlrpc.dll php\\php-5.4.45\\ext\\php_xmlrpc.dll phpStudy20180211 PHPTutorial\\php\\php-5.2.17\\ext\\php_xmlrpc.dll PHPTutorial\\php\\php-5.4.45\\ext\\php_xmlrpc.dll
分析过程: 对比官网的xmlrpc源代码可以知道,默认xmplrpc模块的几个初始化函数都是被设置为NULL:

而污染过的版本中“request_startup_func”函数被恶意攻击者自定义:

用户所有的请求都会经过自定义的函数“sub_100031F0”,
进一步分析函数“sub_100031F0”,当攻击者(或普通用户?)发起的HTTP数据包中包含“Accept-Encoding“字段信息时,会进入攻击者自定的流程:

当Accept-Encoding字段信息为“compress,gzip”时,它会触发搜集系统信息功能,如其中函数“sub_10004380”搜集网卡信息:

同时会执行内存php代码:

DUMP出PHP进一步分析:

解密出Base64加密字符串:

通过HTTP包构造工具测试发包,成功触发访问恶意“360se[.]net”域名:

分析发现,当Accept-Encoding字段信息为“gzip,deflate”时,它会接着判断是否设置“Accept-Charset”字段:

再判断是否设定的特定的“Accept-Charset”字段,在满足特定条件以后可以执行黑客给定的php命令,实现控制服务器的目的,隐蔽性非常高。
3、影响版本
目前测试发现phpStudy2016和phpStudy2018版本存在后门,IOC:

0f7ad38e7a9857523dfbce4bce43a9e9

c339482fd2b233fb0a555b629c0ea5d5

360se[.]net

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考:

findstr /m /s /c:"@eval" *.*

4、缓解措施

phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《【安全预警】phpStudy安全风险,隐藏后门警报》
» 本文链接地址:https://blog.mydns.vip/2435.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(0) 打赏
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 【安全预警】phpStudy安全风险,隐藏后门警报
分享到: 更多 (0)

评论 抢沙发


  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏