一鍵安裝藏隱患，phpStudy 批量入侵的分析與溯源

摘要： 本文作者：雲鼎實驗室公眾號： 雲鼎實驗室 一、前言 近日，騰訊安全雲鼎實驗室監測到大量主機被入侵併添加了一個名為“vusr_dx$”的隱藏帳號；同時，雲鼎實驗室還監測到此類帳號被大量建立的同時存在對應帳號異地登入的情況。 Windows 的帳號名稱後帶著“$”符號時，不會...

本文作者：雲鼎實驗室
公眾號： ofollow,noindex" target="_blank">雲鼎實驗室

一、前言

近日，騰訊安全雲鼎實驗室監測到大量主機被入侵併添加了一個名為“vusr_dx$”的隱藏帳號；同時，雲鼎實驗室還監測到此類帳號被大量建立的同時存在對應帳號異地登入的情況。

Windows 的帳號名稱後帶著“$”符號時，不會在 net user 命令中顯示出帳號資訊，是攻擊者常用的一種隱藏帳號的方法，一般開發者不會新增這種型別的帳號。 雲鼎實驗室對該事件進行跟蹤分析，還原了攻擊者的入侵手法、入侵後的操作。

二、入侵手法分析

通過對所有被入侵併新增“vusr_dx$”隱藏帳號的主機進行分析統計，發現大多數主機都安裝了phpStudy 元件，Web 目錄存在 phpinfo 和 phpMyAdmin，且 SQL/">MySQL 的 root 使用者有 50% 為弱口令。由此可以推斷可能導致入侵的原因：

使用者在自己雲主機通過 phpStudy 一鍵部署 PHP 環境，預設情況下包含 phpinfo 及 phpMyAdmin 並且任何人都可以訪問，同時安裝的 MySQL 預設口令為弱口令，於是黑客通過 phpMyAdmin 使用弱口令登入 MySQL，接著利用 MySQL 的一些手段獲取到系統許可權。

常見利用 MySQL 獲取系統許可權一般有如下幾個方式：

• 利用 SELECT "<?system("$_POST[cmd]);?>" INTO OUTFILE '/path/to/webroot' 語句、或者 general_log 向 Web 目錄寫入一個 Webshell。由於 phpStudy 的一些原因，其 PHP 程序執行命令後是一個非常高許可權的使用者（通常為管理員使用者或者是 SYSTEM 許可權）。

• 利用 MySQL UDF 來進行命令執行。通常利用 UDF 來執行命令的情況有 PHP 低許可權但是 MySQL 是高許可權的情況，或者是 PHP 用 disable_functions 限制了呼叫系統命令執行的方式，所以利用 UDF 來繞過 disable_functions。

這兩種手法攻擊者都有可能使用，由於攻擊者是大批量、持續不斷的進行入侵操作，可以推斷出攻擊者必然是使用了指令碼來進行攻擊的。

圖 1. 攻擊者每日成功入侵的機器數量曲線

通過進一步分析調查發現，最終確認攻擊者的攻擊手法為利用 MySQL 弱口令登入後，修改 general_log 指向 Web 目錄下的 sheep.php 的檔案，然後利用 shell 建立帳號。下表是 general_log 中時間和帳號建立時間的對應關係，佐證了攻擊者的攻擊手法。

攻擊者使用的 SQL 語句如下圖所示：

圖2. 攻擊者使用的 SQL 語句 payload

圖3. sheep.php檔案內容

可見，攻擊者是針對性的對於 phpStudy 進行攻擊。由於 phpStudy 預設安裝的 MySQL 密碼為 root / root，且開啟在外網 3306 埠，在未設定安全組，或者安全組為放通全埠的情況下，極易受到攻擊。

攻擊者在建立完帳戶後，會將挖礦木馬上傳到路徑 C:\ProgramData\Zational\Zational.exe（MD5：cb6f37e76dd233256f1c3303b4e99b1c）並執行。該檔案是一個門羅幣挖礦程式， Github 地址為： https://github.com/xmrig/xmrig 。

圖4. 挖礦程序

三、入侵溯源

黑客在建立了隱藏帳號之後會通過隱藏帳號登入並植入挖礦程式，通過騰訊云云鏡捕獲的“vusr_dx$”帳號異常登入行為進行來源 IP 歸類統計，得到將近60個 IP 地址，包含除了來自於不同 IDC 的 IP，還有部分來自江蘇鹽城疑似黑客真實 IP：

圖5. 部分異常登入來源IP

初步可以懷疑這批是黑客所控制肉雞甚至可能包含有黑客真實 IP，進一步針對這些 IP 進行資訊收集分析，發現 103.214.*.* 存在 phpMyAdmin，同時 MySQL 也存在弱口令，且攻擊者在 Web 目錄下留下了後門，當即猜測這是攻擊者的一臺跳板機。進一步分析，獲得了黑客的後門帳號 vusr_dx$ 的密碼：admin@6 * *。

進一步針對對於挖礦木馬行為進行分析後，發現此木馬會連線到域名為gowel.top（IP：202.168.150.44）的代理礦池，由於相關配置沒有指定專用礦池使用者 token 或者使用者名稱，可以認為這是一個私有的礦池地址，同時我們發現， hxxp://gowel.top:80/ 是一個 HFS，裡面有我們獲取到的挖礦木馬檔案。

圖6. 該域名80埠HFS截圖

由於該域名 whois 資訊是域名註冊商而非黑客本身，無法通過 whois 獲取註冊者相關資訊。

進一步通過遍歷異常登入來源 IP 查詢內部情報資料，最終發現一個關聯 QQ 資訊可能為黑客 QQ，QQ 號為12 * **，通過搜尋引擎搜尋該 QQ 號也能證明該 QQ 號主人在進行一些可能的黑客行為：

圖7. 對應QQ號搜尋引擎查詢結果

查詢對應QQ資料：

圖8. 對應QQ號資料卡

四、解決方案

針對此類攻擊，通用的解決方案如下：

1. 在騰訊雲控制檯設定 CVM 的安全組，儘量不要選用放通全埠，而是針對性的設定需要外網訪問的埠，比如 HTTP 的預設埠 80、RDP 的預設埠 3389；
2. 對於 phpStudy 這種整合環境，在安裝結束後應修改 MySQL 密碼為強密碼，不要使用 root / root 或者 root / 123456 等弱口令；
3. 可以選擇安裝騰訊云云鏡，雲鏡的主機漏洞檢測功能支援支援 Windows 隱藏帳戶檢測、MySQL 弱口令檢測等漏洞檢測，同時也支援黑客植入的 Webshell 檢測。

圖9. 雲鏡對於受攻擊主機的漏洞掃描報警

五、IOC/">IOCs

MD5：cb6f37e76dd233256f1c3303b4e99b1c

礦池地址：hxxp://gowel.top:11588