北京時(shí)間9月20日，杭州公安發(fā)布了《杭州警方通報(bào)打擊涉互聯(lián)網(wǎng)犯罪和‘清網(wǎng)2019’專項(xiàng)行動成果》一文。文章曝出，國內(nèi)知名的PHP調(diào)試環(huán)境程序集成包“軟件”被黑客篡改刪除。植入“后門”。截至事發(fā)時(shí)，近百萬PHP用戶中超過67萬被黑客控制，賬戶密碼、聊天記錄、設(shè)備代碼等敏感數(shù)據(jù)10萬余套，非法獲利超過600萬元。

案子揭開：2016年以來，共有67萬臺電腦成為“肉雞”

軟件對于很多國內(nèi)開發(fā)者來說并不陌生。是一款免費(fèi)的PHP調(diào)試環(huán)境程序集成包，集成了最新的、PHP、、、、各種軟件一次性安裝，無需配置即可直接使用。具有PHP環(huán)境調(diào)試和PHP開發(fā)功能。因其免費(fèi)公益、簡單方便，已發(fā)展到一定規(guī)模，擁有近百萬的PHP語言學(xué)習(xí)者和開發(fā)者。

然而，這樣一款綠色無污染的“全民”開發(fā)軟件卻遭到黑客的毒害，作案動機(jī)來自黑客的心癢和虛榮心。據(jù)杭州市公安局介紹php網(wǎng)站后門檢測，該黑客組織早在2016年就編寫了“后門”文件，非法侵入官網(wǎng)，篡改軟件安裝包，植入“后門”?！昂箝T”具有控制電腦的功能，可以遠(yuǎn)程控制下載和運(yùn)行腳本php網(wǎng)站后門檢測，收集用戶的個(gè)人信息。

從2016年開始，黑客就利用這個(gè)“后門”進(jìn)行失控的犯罪活動。大量招募的計(jì)算機(jī)已成為執(zhí)行危險(xiǎn)命令的“肉雞”。無數(shù)的用戶賬戶密碼、計(jì)算機(jī)數(shù)據(jù)和敏感信息已被遠(yuǎn)程捕獲和存儲。返回。據(jù)統(tǒng)計(jì)，黑客已經(jīng)控制了超過67萬臺電腦，非法獲取了賬戶密碼、聊天數(shù)據(jù)、設(shè)備代碼等數(shù)據(jù)10萬多套。此案也是2019年以來國內(nèi)最嚴(yán)重的供應(yīng)鏈攻擊案。

“后門”涉及多個(gè)版本

值得注意的是，被篡改的軟件版本不僅是官方公布的Php5.4版本，2016和2018版本都存在“后門”文件，影響內(nèi)置Php5.2、Php5的使用.3 和 PHP5.4 環(huán)境。雖然官方軟件介紹頁面中的下載鏈接已經(jīng)失效，但在官網(wǎng)歷史版本中依然可以下載。除了官網(wǎng)，一些下載網(wǎng)站提供的同一個(gè)版本也“不干凈”。

確認(rèn)大部分后門位于目錄下的“php\php-5.4.45\ext\.dll”文件和“\php\php-5.2.17\ext\.dll”文件中，但也有一些是下載的通過第三方網(wǎng)站下載的后門位于“\\ext\.dll”文件中。通過查看字符串，可疑的“eval”字符串出現(xiàn)在文件中。

（.dll 文件中的可疑“eval”字符串）

“eval”字符串所在的代碼在處被PHP函數(shù)解包并執(zhí)行。

（解壓并執(zhí)行）

（部分）

解壓后如下圖，編碼后的內(nèi)容就是最終的后門。

（解壓后）

最終后門請求C&C地址，執(zhí)行C&C返回的內(nèi)容。目前地址無法正常連接。

（后門代碼示意圖）

POC 示例：

盡管在杭州網(wǎng)警專案組的行動下網(wǎng)站制作網(wǎng)站制作，馬、楊、譚、周等7名犯罪嫌疑人已分別在海南、四川、重慶、廣東落網(wǎng)。仍有超過 1700 個(gè)帶有“后門”的 .dll 文件。

這些通過修改普通軟件底層源代碼偷偷添加的“后門”，可以在用戶不知情的情況下非法獲取用戶隱私數(shù)據(jù)。