freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

PhpStudyGhost后门供应链攻击事件及相关IOC
2019-09-23 10:20:33

PhpStudy是什么 

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成ApachePHPMySQLphpMyAdminZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

 

后门供应链攻击活动揭露

近日,杭州公安报道了一起重大安全事件杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果其中详细说明了一起供应链攻击事件以下为事件描述:

 

2018124日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。据专家组确认,专案组经过缜密侦查,周全布置,于201914日至5日,兵分四路,分别在海南陵水、四川成都、重庆、广东广州抓获马某、杨某、谭某、周某某等7名犯罪嫌疑人,现场缴获大量涉案物品,并在嫌疑人的电子设备中找到了直接的犯罪证据。据统计,截止抓获时间,犯罪嫌疑人共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。

 

据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用黑客手段非法侵入了PhpStudy软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。

 

在专案组的侦查过程中,同时发现马某等人通过分析“盗取”的数据,得到了多个境外网站的管理后台账号密码,并通过修改服务器数据的方式实施诈骗,非法牟利共计600余万元。

 

目前,官方发通告称,被篡改的软件版本为PhpStudy2016版本中的php5.4版本,如果你是从其它下载站获取的该版本,请自行检查并删除其中的php5.4版本。

 

此次事件PhpStudy官网积极配合杭州公安的调查取证,在20191月已针对被篡改的进行了修复。

 

PhpStudyGhost事件分析

 

奇安信威胁情报中心对此事件命名为PhpStudyGhost该事件可能构成2019年以来影响国内的最大供应链攻击事件。在对涉案存在后门的PhpStudy版本进行分析后,并结合网上安全人员研究,发现模块php_xmlrpc.dll中存在执行额外代码模块,图片.png

下图为ChaMd5安全团队的部分分析回连代码,其中提及了回连C2

图片.png

图片来源:PhpStudy后门文件分析以及检测脚本

 

PhpStudyGhost回连C2

360se.net

 

紧接着,在对攻击者域名进行分析后,发现攻击者的域名解析时间均为2018125日前后,正处于受害者报案时间。

 

以下为存在后门的PhpStudy Hash:

0f7ad38e7a9857523dfbce4bce43a9e9

 

鉴于事件突发性,暂无法统计所有受影响版本,网传5.2版本同样存在后门,还有2016.2018版,但均未确认,有待考证,暂时进行风险提醒。

 

虽然犯罪嫌疑人已经被抓获,但用户仍需自行排查,防止域名被人抢注后,造成的进一步的损害。

 

目前PhpStudy官方的最新版本中不存在此后门,请访问官方链接更新到最新软件:

https://www.xp.cn/

 

奇安信集团全线产品已经可以对PhpStudyGhost攻击进行检测和告警。

 

事件相关IOC

 

IP

133.130.101.150

Domain

360se.net

bbs.360se.net

www.360se.net

up.360se.net

down.360se.net

cms.360se.net

file.360se.net

ftp.360se.net

MD5

0f7ad38e7a9857523dfbce4bce43a9e9

参考链接 

https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw

 

本文作者:, 转载请注明来自FreeBuf.COM

# phpstudy
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦