1.典型案例

本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法，具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索！文末附详细加固方案

2.场景还原

2.1场景设置

2.2攻击路线图

2.3攻击复现

3.漏洞详情

3.1漏洞名称

3.2漏洞类型

3.3漏洞描述

4.应急响应排查

4.1Web日志

• 这是一个 PHP CGI 脚本的路径。php-cgi.exe 通常是用于运行 PHP 的 CGI 可执行文件。

• 这可能是尝试注入 PHP 配置的参数。%add 可能是试图添加或修改 CGI 请求的配置参数。

• cgi.force_redirect 是一个 PHP 配置选项，用于强制重定向。设置为 XCANWIN 是非常不寻常的，可能是一个用于绕过防御或检测机制的值。

• allow_url_include 是 PHP 的一个配置选项，允许 PHP 包含 URL 内容，通过 includerequire 。启用此选项可能会导致安全风险，允许远程文件包含（RFI）攻击。

• auto_prepend_file 是 PHP 的一个配置选项，指定在执行脚本之前自动包含一个文件。在此情况下，尝试利用 php://input 协议来注入代码，加载恶意代码。

4.2Powershell日志

事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell活动的开始；

事件ID 600：记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始，比如”Provider WSMan Is Started“；

事件ID 403：引擎状态从可用状态更改为停止，记录PowerShell活动结束。

5.防范措施

5.1开启apache的dumpio模块

5.2关闭无必要的危险模块

LoadModule cgi_module modules/mod_cgi.so

# LoadModule cgi_module modules/mod_cgi.so

C:/xampp/apache/conf/extra/httpd-xampp.conf

ScriptAlias /php-cgi/ "C:/xampp/php/"

# ScriptAlias /php-cgi/ "C:/xampp/php/"

5.3网络防护

5.4安全测试

5.5意识培训