【预警】程序员要当心,PhpStudy被曝植入“后门”

近日,国内知名PHP调试环境程序集成包“PhpStudy软件”被曝遭到黑客篡改并植入“后门”,该事件引起广泛关注,亚信安全也对此进行了跟踪和调查,亚信安全专家在PhpStudy 2016和2018两个版本中同时发现了“后门”文件,该“后门”位于PhpStudy安装目录中php->ext中的php_xmlrpc.dll文件。目前,网络中仍然有超过1500个存在“后门”的php_xmlrpc.dll文件,这些被植入后门的PhpStudy软件通常隐藏在软件下载站点和博客中。亚信安全将这些被篡改的后门文件命名为Backdoor.Win32.PHPSTUD.A。

image002

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

详细分析

php_xmlrpc.dll文件分析

通过查看该库文件的字符串,安全专家发现其包含了可疑的eval字符串。

image003

该字符串所在的函数中通过调用PHP函数gzuncompress来解压相关shellcode数据。同时安全专家查看该文件的数据节区,也发现存在一些加密的字符串。

image004

通过进一步的分析,该函数解压的shellcode是存放在C028到C66C区间内。

image005

image006

image007

部分的shellcode硬编码。

image008

Shellcode后门分析

安全专家对其shellocde进一步处理,先将相关数据dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函数解压。

image009

image010

解压后的shellcode如下图所示,是通过base64编码的脚本。

image011

image012

Base64解密后的脚本内容如下,链接后门进行GET请求。

image013

事件追踪

亚信安全通过对多个版本文件的分析,安全专家发现被篡改的后门主要出现在php-5.2.17和php-5.4.45版本中。

image014

安全专家同样对没有被篡改的php_xmlrpc.dll文件进行分析,发现此文件中并没有eval等可疑的字符串调用。

正常文件

image015

image016

被篡改的文件

image017

亚信安全教你如何防范

  • 目前PhpStudy官方的最新版本中不存在此后门,请到官方网站下载更新最新版本软件;
  • 从正规网站下载软件;
  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

亚信安全解决方案

亚信安全病毒码版本15.383.60,云病毒码版本15.383.71,全球码版本15.383.00已经可以检测,请用户及时升级病毒码版本。

IOC

SHA-1

2ae861406a7d516b0539c409851cf7f3c8a9716a

##

image018

关于亚信安全

亚信安全是中国网络安全行业领跑者,以安全数字世界为愿景,旨在护航产业互联网。亚信安全是云安全、身份安全、终端安全、态势感知、高级威胁治理、威胁情报技术领导者,同时是5G、云计算、物联网、大数据、工控、移动六大安全场景引领者。在国内拥有2个独立研发中心,2,000人安全专业团队。欲了解更多,请访问: http://www.asiainfo-sec.com

更多媒体垂询,敬请联络:

亚信安全 谋信传媒
刘婷婷 雷远方
电话:010- 58256889 电话:010-67588241
电子邮件: liutt5@aisainfo-sec.com 电子邮件:leiyuanfang@ctocio.com

上一篇:亚信安全入选上海市委网信办“网络安全技术支撑单位”

下一篇:Cynet 360:下一代 EDR 解决方案