知識星球來自:FreeBuf.COM
*參考來源:sucuri,FB小編 secist 編譯
幾個月前,我們曾釋出了有關網路罪犯如何使用GitHub在被黑網站上載入各種加密貨幣礦工的報告文章。不幸的是即便如此,我們依然沒能阻止網路罪犯們的腳步。如今,我們又發現了使用相同手法的網路犯罪活動。其主要目的是利用GitHub,將二進位制資訊竊取惡意軟體悄無聲息的推送至Windows使用者的電腦上。
受感染的Magento網站
最近,識別了數百個受感染的Magento站點均被註入了以下的指令碼:
該指令碼(js.js)中的內容如下:
此程式碼會建立隱藏的div,併在短暫延遲後在正常網站內容上方顯示假的Flash Player更新banner。
這個攻擊與之前攻擊的區別主要在於下載URL,它指向了GitHub上的一個惡意檔案:
https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe
3月13日,我們將該檔案上傳至VirusTotal進行檢測,結果有一半以上的防毒軟體都認為該檔案為木馬病毒。當我們將它傳送給Malwarebytes的Jerome Segura時,他認為該檔案是LokiBot資訊竊取惡意軟體的變體。
檢查GitHub儲存庫
在包含惡意檔案的GitHub儲存庫中,可以找到對較差檢測率的答案:
https://github.com/flashplayer31/flash
帳戶(flashplayer31)和儲存庫(flash)都是在2018年3月8日被建立的,也就是說在我們檢測到惡意內容之前還不到一週。
GitHub儲存庫只包含兩個檔案:
flashplayer28pp_xa_install.exe(在以上部分已做介紹)和flashplayer28pp_xa_install.iso - 包含ISO映像的特洛伊木馬,其中包含惡意/FLASHPLA.EXE。
如果你檢查儲存庫中的提交歷史記錄,你會發現這兩個二進位制檔案每天至少會被更新一次。
攻擊者之所以要頻繁的重新打包二進位制檔案,是為了盡可能的躲避防毒軟體的查殺,然後將更改推送到Git,這就是為什麼我們在VirusTotal上主要看到通用和啟髮式警告的原因。更新後的檔案可以立即從GitHub上的主分支下載。
整個過程可以完全自動化的完成,並且可以在沒有任何人為幹預的情況下工作。
將GitHub作為惡意軟體的託管環境
GitHub對於攻擊者而言作為託管環境有以下幾點優勢:
它可以免費使用
它適用於自動化
該域名信譽度高,不易被安全工具列入黑名單
雖然我們可以對該賬戶投訴並最終禁用它,但是這需要很長一段時間 - 從濫用投訴到帳戶關閉 - 並且可以在幾分鐘內建立新的配置檔案。
憑據竊取惡意軟體
讓我們回到惡意軟體本身。LokiBot被定義為“infostealer(資訊竊取木馬)”,因為它能夠從各種流行的電子郵件客戶端和Web瀏覽器中竊取憑證。
該惡意軟體還能夠竊取來自數十個FTP客戶端(例如FileZilla,FlashFXP,WS_FTP等)和SSH程式(例如PUTTY)的登入詳細資訊,這對於網站管理員和網站開發人員都是非常危險的,攻擊者極有可能從他們的站點和伺服器竊取他們的憑證。
在6-10年前,這是駭客入侵網站最流行的媒介。一旦網站管理員的計算機受到感染,惡意軟體會簡單地掃描儲存的FTP憑據(大多數FTP客戶端以純文字格式儲存)的檔案,然後將結果傳送到控制伺服器。
雖然這種攻擊媒介現在不那麼受歡迎,但你仍然不能低估它潛在的威脅。
降低憑據竊取惡意軟體帶來的風險
自2008年開始我的網站安全工作以來,我對站點管理員的建議並沒有太大改變。
為防止你的站點憑據被盜,請確保你所維護站點的計算機和裝置未受感染。你可以安裝一些知名度和聲譽較高的防護軟體,並定期修補/更新作業系統以及基本網路軟體,包括瀏覽器,FTP客戶端,CMS等。當然,這些更新都應來自軟體本身,而不是來自不相關的第三方網站。
你還應該避免將密碼儲存在除可信度較高的任何其它密碼管理器以外的程式中。不要讓FileZilla儲存你的FTP密碼,也不要在瀏覽器中儲存任何網站,網路郵件或銀行的密碼。
如果條件允許,我強烈建議你使用私鑰認證和/或雙因素認證。使用SFTP而不是FTP - 如今大多數的託管提供商都包含了此選項。
最後,如果你的密碼已被竊取(或任何安全事件之後),請儘快更改你的密碼。遵循這些步驟將能最大程度的降低你憑據失竊的風險。
●編號588,輸入編號直達本文
●輸入m獲取文章目錄
