社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

警惕利用漏洞话题在Github上发起的投毒攻击

雾晓安全 • 3 年前 • 295 次点击  
1

摘要

微步情报局监测发现,近日有攻击者以国内安全产品远程代码执行漏洞为诱饵,在 Github 网站传播带有远控木马的恶意脚本,建议相关企业关注此类攻击手法,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。

微步在线安全 TDP/TIP 已支持对此次攻击事件的检测,如需协助,请与我们联系:contactus@threatbook.cn。

2

事件概要

攻击目标

全行业

攻击时间

2022年7月24日

攻击向量

热点话题

攻击复杂度

最终目的

内网入侵

3

事件详情
2022年7月24日,有匿名用户在 X 情报社区发布消息称发现“红队投毒项目”[1],并提供名为"3**t******gRCE" 的可疑 github 项目。

核实发现,该项目由名为 FuckRedTeam 的 github 用户于2022年7月24日18时发布[2],号称为国内某安全厂商产品的远程执行漏洞脚本。

而对相关代码排查发现,该项目会从 python 常用 UserAgent 库中加载名为 “fake_useragant” 模块,而该模块系伪装合法的 “fake_useragent”( 字母e替换为a)。

通过 Pypi 官方网站查询发现[3],伪装代码 “fake_useragant” 于2022年7月20日上传(目前已被删除,但部分国内下载源已经同步且可下载),上传者昵称为 “Join”,注册时间为2022年7月11日。

进一步分析发现,该模块包中的 urllib2.py 文件存在可疑代码;

对其进行解码,连接 i.miaosu.bid/data/f_35461354.png 下载图片进行解码;

其图片地址: http://i.miaosu.bid/data/f_35461354.png;

进行多次 AES 解密;


最后通过进行线程执行解密,其解密代码通过 icmp 隧道与 C&C 服务器120.79.87.123 通信以获取下一步 payload。

其返回数据返回值 data 第一位必须为0x1才进行正式解密并进行下一步操作

目前 C&C 已失活,未能获取进一步的恶意代码。

处置建议

1、 切勿轻信网络传播所谓的安全检测脚本/工具,防止被黑客利用。

2、 根据威胁情报,排查网络中是否再存失陷情况。

4

参考链接
[1] https://x.threatbook.com/v5/article?threatInfoID=15787

[2] https://github.com/FuckRedTeam

[3] https://pypi.org/search/?q=fake-useragant


公众号内回复“GH”,可获取附录 IOC。


---End---

内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
点击下方,关注我们
第一时间获取最新的威胁情报



Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/138057