近日,国内知名PHP调试环境程序集成包PhpStudy软件被曝遭到黑客篡改并植入后门,该事件引起广泛关注,亚信安全也对优艾设计网_Photoshop问答此进行了跟踪和调查,亚信安全专家在PhpStudy 2016和2018两个版本中同时发现了后门文件,该后门位于PhpStudy安装目录中php-gt;ext中的php_xmlrpc.dll文件。目前,网络上仍有超过1500个后门的php_xmlrpc.dll文件,这些后门嵌入的phpStudy软件通常隐藏在软件下载站点和博客中。亚信安全将这些被篡改后门文件命名为Backdoor.Win32.PHPSTUD.A。
详细分析
通过查看该库文件的字符串,安全专家发现其中包含了可疑的eval字符串。
该字符串的函数通过调用PHP函数gzuncompress解冻相关的shellcode数据。同时,安全专家检查了该文件的数据节区,发现有加密的文字串。
通过进一步分析,该函数解冻的shellcode保管在C028到C66C之间。
部分shellcode硬码。
shellcode后门分析
安全专家进一步处理shellocde,将相关数据dump放入新文件,然后利用python格式化字符串,在php中利用gzuncompress函数解压。
解压后的shellcode如下图所示,是通过base64编码的脚本。
Base64解密后的脚本内容如下,链接后门进行GET请求。
事件追踪
亚信安全通过对多个版本文件的分析,发现安全专家篡改的后门主要出现在php-5.2.17和php-5.4.45版本中。
安全专家也分析了没有篡改的php_xmlrpc.dll文件,发现该文件中没有eval等可疑的文字串。
正常文件
被篡改的文件
亚信安全教授如何防止
现在PhpStudy官方的最新版本中没有后门,请在官方网站上下载最新版本的软件
从正规网站下载软件
精彩评论