近日,国内知名PHP调试环境措施集成包“PhpStudy软件”被曝遭到黑客篡改并植入“后门”,该事件引起广泛存眷,亚信安适也对此进行了跟踪和查询拜访,亚信安适专家在PhpStudy 2016和2018两个版本中同时发明了“后门”文件,该“后门”位于PhpStudy安置目录中php->ext中的php_xmlrpc.dll文件。目前,网络中仍然有赶过1500个存在“后门”的php_xmlrpc.dll文件,这些被植入后门的PhpStudy软件凡是隐藏在软件下载站点和博客中。亚信安适将这些被篡改的后门文件定名为Backdoor.Win32.PHPSTUD.A。
PhpStudy软件是国内的一款免费的PHP调试环境的措施集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安置,无需配置即可直接安置使用,具有PHP环境调试和PHP开发成果,在国内有着近百万PHP语言学习者、开发者用户。
详细分析
php_xmlrpc.dll文件分析
通过检察该库文件的字符串,安适专家发明其包罗了可疑的eval字符串。
该字符串地址的函数中通过挪用PHP函数gzuncompress来解压相关shellcode数据。同时安适专家检察该文件的数据节区,也发明存在一些加密的字符串。
通过进一步的分析,该函数解压的shellcode是存放在C028到C66C区间内。
Shellcode后门分析
安适专家对其shellocde进一步措置惩罚惩罚,先将相关数据dump到新的文件中,然后操作python格局化字符串,在php中操作gzuncompress函数解压。
解压后的shellcode如下图所示,是通过base64编码的脚本。
Base64解密后的脚本内容如下,链接后门进行GET请求。
事件追踪
亚信安适通过对多个版本文件的分析,安适专家发明被篡改的后门主要呈此刻php-5.2.17和php-5.4.45版本中。
安适专家同样对没有被篡改的php_xmlrpc.dll文件进行分析,发明此文件中并没有eval等可疑的字符串挪用。
正常文件
被篡改的文件
亚信安适教你如何防止
目前PhpStudy官方的最新版本中不存在从此门,请到官方网站下载更新最新版本软件;
从正规网站下载软件;
给与高强度的暗码,制止使用弱口令暗码,并按期改换暗码;
亚信安适解决方案
亚信安适病毒码版本15.383.60,云病毒码版本15.383.71,全球码版本15.383.00已经可以检测,请用户及时升级病毒码版本。
IOC
SHA-1
2ae861406a7d516b0539c409851cf7f3c8a9716a