黑客利用ThinkPHP框架漏洞安装Dama木马病毒

知名安全公司阿卡迈近日发文提醒，黑客正利用CVE-2018-20062和CVE-2019-9082漏洞安装Dama恶意后门病毒。

根据网络资料，CVE-2018-20062漏洞和CVE-2019-9082漏洞都是国产 ThinkPHP 开发框架的旧版本中发现的漏洞。

漏洞编号：CVE-2018-20062

影响版本：ThinkPHP 5.0系列 <= 5.0.23

漏洞描述：

存在于ThinkPHP 5.0.23以前的版本中，获取method的方法中没有正确处理方法名

导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。

由于ThinkPHP5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，构造特定的请求。

漏洞编号：CVE-2019-9082

影响版本：ThinkPHP <= 3.2.4

CNNVD ID: CNNVD-201902-884

漏洞描述：

ThinkPHP 3.2.4之前版本中（使用在Open Source BMS v1.1.1版本和其他设备上）中存在安全漏洞。

远程攻击者可借助public//?s=index/

hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= URL利用该漏洞执行命令。

很显然，尽管两个漏洞分别于2018年和2019年被曝光，也算年代久远了，时至今日它们依旧是黑客称心的攻击利器。

阿卡迈公司于2023年10月17日时首次监测到这种攻击行为，但黑客仅在数天内进行了一系列测试性操作便销声匿迹。

直到2024年04月类似的黑客活动开始重新活跃并且影响明显，攻击者开始利用上述两个漏洞执行远程代码进行攻击。

攻击者利用该漏洞向目标网站上传一个名为“public.txt”的文本文件，但该文件其实是经过混淆的Dama后门加壳文件。

这个文本文件包含用于远程服务器控制的服务器端后门脚本Webshell，在目标网站运行后被保存命名为“roeter.php”。

这个后门脚本Webshell代码使用模糊处理，利用 ROT13 算法进行替换加密，可以产生一个冗长的十六进制字符串。

但好玩的是攻击者选择了一个非常简单的密码“admin”对这个Webshell脚本进行身份验证，然后实现远程控制服务器。

安全人员初步分析发现这些攻击源来自云提供商 Zenlayer 托管的服务器相关多个IP地址，这些服务器主要位于香港。

但安全人员深入分析发现这些服务器可能也是攻击者的为了逃避监管的肉鸡，因为这些服务器感染了相同Webshell。

攻击者利用这个Webshell可以入侵文件系统进行文件文件和数据收集从而获取到系统 root 权限从而控制整个服务器。

_{图源 akamai blog}

尽管来自西欧或者东欧的黑客习惯使用英文命名Webshell脚本，例如WSO-NG Webshell，但其用户界面确是中文。

由于其使用Dama命名恶意软件、使用中文界面攻击基于国人开发的PHP框架，安全人员自然认为木马出自国人之手。

目前受害浙没有收到攻击企图的影响，仅仅被植入木马没有下一步操作，因此安全人员无法确定攻击者的最终意图。

但按照以往的经验，攻击者很可能是在为培植大型的加密僵尸网络或者是组建大型分布式拒绝服务（DDoS）做准备。

攻击者手里的肉鸡数量到了一定规模，那更干的坏事儿就多了去了，比如执行勒索计划或者横向移动收集组织情报。

那如何防止被黑客利用CVE-2018-20062或者CVE-2019-9082漏洞攻击呢，最简单的办法就是升级ThinkPHP版本。

这里不得不吐槽，这俩漏洞被曝光五六年了，国家相关安全部门多次发出警告，到现在还没有升级那只有两种情况。

要么是你们单位的程序员太懒要么是程序员太烂，毕竟黑客选择这俩漏洞明显是针对性的发起攻击而非广泛性行为。

而我就是那种很烂的半吊子程序员，所以我老早就付费请人帮忙把我自己使用ThinkPHP开发的网站做了升级，哈哈。

参考材料：

https://www.akamai.com/blog/security-research/2024-thinkphp-applications-exploit-1-days-dama-webshell

https://www.h3c.com/cn/d_201903/1154329_30003_0.htm