We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Author: Sep0lkit
返回首页: https://github.com/Sep0lkit/Blog/issues
原文地址: https://github.com/Sep0lkit/Blog/blob/master/posts/phpstudy后门应急与检测.md
phpStudy后门被公开后, 第一时间通过IOC提取了最近一年存在此特征的终端数据, 数十台的用户确认感染. 对于数千人的公司, 近数万台终端的企业来说, 这个数据我认为是不能够反映真实的情况. 于是对漏洞进行的简单的分析和测试, 下面写一些自己的结论.
关于响应这里不具体说了, 简单说一下流程:
关于漏洞的分析可以参考 安恒信息应急响应中心的报告: https://mp.weixin.qq.com/s/3XuxeU42C5qRqXFYUBCmpQ
总结如下:
PHP扩展定义函数zend_module_entry, 定义扩展名称 /版本/函数列表/以及执行四个阶段的初始化函数(可以为NULL).
xmlrpc源码中的四个初始化函数被劫持
xmlrpc后门触发条件:
php源代码中xmlrpc扩展定义: HTTP Header中存在"accept-Encoding: compress,gzip"
xmlrpc.dll中xmlrpc_module_entry的定义:
劫持的函数为: "sub_100031F0" 和 "sub_10003710", 实际中 "sub_10003710"并未定义任何内容.
构造HTTP包, 可以看到触发后门的IOC特征.
curl "http://192.168.8.30" \ -H "user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" \ -H "accept: text/html" \ -H "accept-Encoding: compress,gzip" \ -H "accept-language: en-US;q=0.9"
SYSMON触发的DNS Query:
通过对漏洞进行分析和复测, 我们可以看到此后门是非常隐蔽的, 而且不会主动对外链接.
所以, 通过网络IOC的检测方式的出来的数据是确认触发过后门的, 必然存在更多的用户还处于"隐身"的状态. 为了揪出这些潜在的后门, 可以通过主动扫描的方式进行触发式检测.
参考:
https://www.anquanke.com/post/id/187208
https://mp.weixin.qq.com/s/3XuxeU42C5qRqXFYUBCmpQ
非特别说明, 均为原创文章, 未经允许禁止转载.
Powered by Git-Issues-Blog
The text was updated successfully, but these errors were encountered:
Sep0lkit
No branches or pull requests
Author: Sep0lkit
返回首页: https://github.com/Sep0lkit/Blog/issues
原文地址: https://github.com/Sep0lkit/Blog/blob/master/posts/phpstudy后门应急与检测.md
phpstudy后门应急与检测
0x00: 序:
phpStudy后门被公开后, 第一时间通过IOC提取了最近一年存在此特征的终端数据, 数十台的用户确认感染. 对于数千人的公司, 近数万台终端的企业来说, 这个数据我认为是不能够反映真实的情况. 于是对漏洞进行的简单的分析和测试, 下面写一些自己的结论.
0x01: 后门说明
0x02: 应急响应
关于响应这里不具体说了, 简单说一下流程:
0x03: 漏洞分析与复现
漏洞分析
关于漏洞的分析可以参考 安恒信息应急响应中心的报告: https://mp.weixin.qq.com/s/3XuxeU42C5qRqXFYUBCmpQ
总结如下:
PHP扩展定义函数zend_module_entry, 定义扩展名称 /版本/函数列表/以及执行四个阶段的初始化函数(可以为NULL).
xmlrpc源码中的四个初始化函数被劫持
xmlrpc后门触发条件:
php源代码中xmlrpc扩展定义: HTTP Header中存在"accept-Encoding: compress,gzip"
xmlrpc.dll中xmlrpc_module_entry的定义:
劫持的函数为: "sub_100031F0" 和 "sub_10003710", 实际中 "sub_10003710"并未定义任何内容.
漏洞复现:
构造HTTP包, 可以看到触发后门的IOC特征.
SYSMON触发的DNS Query:
0x04完善检测方式/全面检测
通过对漏洞进行分析和复测, 我们可以看到此后门是非常隐蔽的, 而且不会主动对外链接.
所以, 通过网络IOC的检测方式的出来的数据是确认触发过后门的, 必然存在更多的用户还处于"隐身"的状态. 为了揪出这些潜在的后门, 可以通过主动扫描的方式进行触发式检测.
0x05 杂谈
参考:
https://www.anquanke.com/post/id/187208
https://mp.weixin.qq.com/s/3XuxeU42C5qRqXFYUBCmpQ
非特别说明, 均为原创文章, 未经允许禁止转载.
Powered by Git-Issues-Blog
The text was updated successfully, but these errors were encountered: