近日，國(guó)內(nèi)知名PHP調(diào)試環(huán)境程序集成包“PhpStudy軟件”被曝遭到黑客篡改并植入“后門(mén)”，該事件引起廣泛關(guān)注，亞信安全也對(duì)此進(jìn)行了跟蹤和調(diào)查，亞信安全專(zhuān)家在PhpStudy 2016和2018兩個(gè)版本中同時(shí)發(fā)現(xiàn)了“后門(mén)”文件，該“后門(mén)”位于PhpStudy安裝目錄中php->ext中的php_xmlrpc.dll文件。目前，網(wǎng)絡(luò)中仍然有超過(guò)1500個(gè)存在“后門(mén)”的php_xmlrpc.dll文件，這些被植入后門(mén)的PhpStudy軟件通常隱藏在軟件下載站點(diǎn)和博客中。亞信安全將這些被篡改的后門(mén)文件命名為Backdoor.Win32.PHPSTUD.A。

PhpStudy軟件是國(guó)內(nèi)的一款免費(fèi)的PHP調(diào)試環(huán)境的程序集成包，通過(guò)集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝，無(wú)需配置即可直接安裝使用，具有PHP環(huán)境調(diào)試和PHP開(kāi)發(fā)功能，在國(guó)內(nèi)有著近百萬(wàn)PHP語(yǔ)言學(xué)習(xí)者、開(kāi)發(fā)者用戶。

詳細(xì)分析

php_xmlrpc.dll文件分析

通過(guò)查看該庫(kù)文件的字符串，安全專(zhuān)家發(fā)現(xiàn)其包含了可疑的eval字符串。

該字符串所在的函數(shù)中通過(guò)調(diào)用PHP函數(shù)gzuncompress來(lái)解壓相關(guān)shellcode數(shù)據(jù)。同時(shí)安全專(zhuān)家查看該文件的數(shù)據(jù)節(jié)區(qū)，也發(fā)現(xiàn)存在一些加密的字符串。

通過(guò)進(jìn)一步的分析，該函數(shù)解壓的shellcode是存放在C028到C66C區(qū)間內(nèi)。

部分的shellcode硬編碼。

Shellcode后門(mén)分析

安全專(zhuān)家對(duì)其shellocde進(jìn)一步處理，先將相關(guān)數(shù)據(jù)dump到新的文件中，然后利用python格式化字符串，在php中利用gzuncompress函數(shù)解壓。

解壓后的shellcode如下圖所示，是通過(guò)base64編碼的腳本。

Base64解密后的腳本內(nèi)容如下，鏈接后門(mén)進(jìn)行GET請(qǐng)求。

事件追蹤

亞信安全通過(guò)對(duì)多個(gè)版本文件的分析，安全專(zhuān)家發(fā)現(xiàn)被篡改的后門(mén)主要出現(xiàn)在php-5.2.17和php-5.4.45版本中。

安全專(zhuān)家同樣對(duì)沒(méi)有被篡改的php_xmlrpc.dll文件進(jìn)行分析，發(fā)現(xiàn)此文件中并沒(méi)有eval等可疑的字符串調(diào)用。

正常文件

被篡改的文件

亞信安全教你如何防范

目前PhpStudy官方的最新版本中不存在此后門(mén)，請(qǐng)到官方網(wǎng)站下載更新最新版本軟件;

從正規(guī)網(wǎng)站下載軟件;

采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼;

亞信安全解決方案

亞信安全病毒碼版本15.383.60，云病毒碼版本15.383.71，全球碼版本15.383.00已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

IOC

SHA-1

2ae861406a7d516b0539c409851cf7f3c8a9716a

以上就是【值得收藏！原創(chuàng)（phpStudy2016MySQL）phpStudy2016設(shè)置數(shù)據(jù)庫(kù)連接數(shù)-「預(yù)警」程序員要當(dāng)心 PhpStudy被曝植入“后門(mén)”】的全部?jī)?nèi)容。

微信:N915888888

(歡迎您前來(lái)咨詢)