发布时间:2019-09-23 10:15:19,来源:中国信息通信研究院
一、基本情况
2016年发布的phpstudy版本存在恶意植入后门。攻击者利用该后门远程控制抓取账号密码等计算机数据并回传大量敏感信息。
二、攻击原理
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。
杭州公安在9月20日发布的‘杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果’中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。
据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用黑客手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。
马某此举是想以此方式炫耀其个人技巧,掌握使用者的相关信息。在专案组的侦查过程中,同时发现马某等人通过分析“盗取”的数据,得到了多个境外网站的管理后台账号密码,并通过修改服务器数据的方式实施诈骗,非法牟利共计600余万元。
目前,官方发通告称,被篡改的软件版本为PhpStudy2016版本中的php5.4版本,如果你是从其它下载站获取的该版本,请自行检查并删除其中的php5.4版本。该事件可能构成2019年以来影响国内的最大供应链攻击事件。在对涉案存在后门的PhpStudy版本进行分析后,并结合网上安全人员研究,发现模块php_xmlrpc.dll中存在执行额外代码模块:
下图为ChaMd5安全团队的部分分析回连代码,其中提及了回连C2:
三、影响范围
后门植入版本:phpstudy 5.4
被篡改的软件版本为phpstudy 2016年发布的php5.4版本,如果用户通过非官方网站下载了phpstudy,请自行检查并删除其中的php5.4版本。
四、处置建议
1)修改所有可能泄露的服务器密码、系统密码:
经过司法鉴定,该后门文件具有控制计算机的功能,且嫌疑人已通过该后门远程下载运行脚本收集用户的数据信息。
2)删除问题版本phpstudy:
软件作者发布声明,称被植入后门版本为phpstudy 2016版本发布的php5.4,如果是通过其它非官方下载站下载的该版本,请自行检查并删除其中的php5.4版本。
3)在官方网站下载phpstudy:
官方已于2019年1月针对被篡改的下载源进行了修复,若有phpstudy下载需求,请前往官方下载站进行下载。
五、参考链接
1)https://mp.weixin.qq.com/s/xikzveCJqkKAu1MnMRCYPw
2)https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g