【漏洞与预防】远程代码执行漏洞预防

原创 solarsec solar应急响应团队 2025-02-18 07:00

1.典型案例

本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法，具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索！文末附详细加固方案

2.场景还原

2.1场景设置

攻击者利用CVE-2024-4577远程代码执行漏洞在服务器上执行命令，获取到服务器管理员权限。

2.2攻击路线图

2.3攻击复现

攻击者利用了CVE-2024-4577漏洞执行了命令，该站点的本地权限为administrator。

紧接着攻击者执行了远程下载命令，下载了木马。

执行木马，获取到服务器权限。

3.漏洞详情

3.1漏洞名称

PHP远程代码执行

3.2漏洞类型

远程代码执行

3.3漏洞描述

2024年6月8日，PHP存在的一个编号为CVE-2024-4577的严重安全漏洞，引起了网络安全界的热议。该漏洞允许远程代码执行，影响Windows操作系统上所有版本的PHP。漏洞利用了Windows操作系统内编码转换的Best-Fit特性，使得未经身份验证的攻击者可通过特定字符序列绕过CVE-2012-1823的保护措施。PHP已在8.3.8、8.2.20和8.1.29版本中发布了修复。披露该漏洞的台湾DEVCORE公司安全研究员提醒，所有XAMPP安装在繁体中文、简体中文或日语环境下默认存在漏洞，并建议放弃PHP CGI，选择更安全的解决方案。

4.应急响应排查

4.1Web日志

通过web日志可看到黑客利用了CVE-2024-4577漏洞的payload进行攻击；

/php-cgi/php-cgi.exe
– 这是一个 PHP CGI 脚本的路径。php-cgi.exe 通常是用于运行 PHP 的 CGI 可执行文件。

%add
– 这可能是尝试注入 PHP 配置的参数。%add 可能是试图添加或修改 CGI 请求的配置参数。

cgi.force_redirect=XCANWIN
– cgi.force_redirect 是一个 PHP 配置选项，用于强制重定向。设置为 XCANWIN 是非常不寻常的，可能是一个用于绕过防御或检测机制的值。

allow_url_include=on
– allow_url_include 是 PHP 的一个配置选项，允许 PHP 包含 URL 内容，通过 includerequire 。启用此选项可能会导致安全风险，允许远程文件包含（RFI）攻击。

auto_prepend_file=php://
– auto_prepend_file 是 PHP 的一个配置选项，指定在执行脚本之前自动包含一个文件。在此情况下，尝试利用 php://input 协议来注入代码，加载恶意代码。

4.2Powershell日志

powershell日志中看到了powershell执行的命令，事件id为600、400、403；

事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell活动的开始；
事件ID 600：记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始，比如”Provider WSMan Is Started“；
事件ID 403：引擎状态从可用状态更改为停止，记录PowerShell活动结束。

5.防范措施

5.1开启apache的dumpio模块

在httpd.conf中取消注释dumpio模块

在httpd.conf中修改dumpio模块配置

重启apache之后，在error日志中可以看到详细的请求和响应日志

记录请求体可能会对性能产生影响，特别是对于大体积的 POST 请求，因此在生产环境中使用时需要谨慎。

mod_dumpio 会记录大量信息，因此需要根据实际需求调整日志级别，以避免产生过多的日志数据。

5.2关闭无必要的危险模块

如C:/xampp/apache/conf/httpd.conf

定位相应的行：

LoadModule cgi_module modules/mod_cgi.so

并注释掉它:

# LoadModule cgi_module modules/mod_cgi.so

C:/xampp/apache/conf/extra/httpd-xampp.conf

定位相应的行：

ScriptAlias /php-cgi/ "C:/xampp/php/"

并注释掉它:

# ScriptAlias /php-cgi/ "C:/xampp/php/"

5.3网络防护

通过部署Web应用防火墙（WAF）拦截恶意请求，隔离核心服务到内网环境，限制公网暴露面，并配置防火墙规则仅开放必要端口。

5.4安全测试

定期进行渗透测试和代码审计，使用静态分析工具扫描代码风险，对需要执行外部代码的场景使用沙箱或容器隔离，降低漏洞利用可能性。

5.5意识培训

加强开发与运维团队的安全意识培训，熟悉常见漏洞（如OWASP Top 10）和防护措施，提升整体安全防护能力。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

收录时间	病毒家族	相关文章
2025/01/14	medusalocker	【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析
2025/01/15	medusa	【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析
2024/12/11	weaxor	【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！
2024/10/23	RansomHub	【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11/23	Fx9	【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判
2024/11/04	Makop	【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？
2024/06/26	moneyistime	【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/04/11	babyk	【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/09/29	lol	【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发
2024/06/10	MBRlock	【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法
2024/06/01	Rast gang	【病毒分析】Steloj勒索病毒分析
2024/06/01	TargetOwner	【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？
2024/11/02	Lockbit 3.0	【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析
2024/05/15	wormhole	【病毒分析】Wormhole勒索病毒分析
2024/03/20	locked	【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析
2024/03/01	lvt	【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析
2024/03/04	phobos	【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目  【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/28	DevicData	【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！
2024/02/27	live	【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密）
2024/08/16	CryptoBytes	【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚
2024/03/15	mallox	【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！
2024/07/25	BeijngCrypt	【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

时间	相关文章
2024/12/12	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破
2024/12/11	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

时间	相关文章
2024/06/27	【教程分享】勒索病毒来袭！教你如何做好数据防护
2024/06/24	【教程分享】服务器数据文件备份教程

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

时间	相关文章
2024/06/27	【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

时间	相关文章
2025/01/08	【漏洞与预防】RDP弱口令漏洞预防
2025/01/21	【漏洞与预防】MSSQL数据库弱口令漏洞预防

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

时间	相关文章
2025/01/10	【应急响应工具教程】Splunk安装与使用
2025/02/07	【应急响应工具教程】取证工具-Volatility安装与使用

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

更多资讯 扫码加入群组交流

喜欢此内容的人还喜欢

【文章转载】LockBit勒索团伙受重创：多国联手制裁Zservers防弹托管提供商

索勒安全团队

【漏洞与预防】MSSQL数据库弱口令漏洞预防

索勒安全团队

【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析

索勒安全团