當前位置:
首頁 > 新聞 > 黑客利用GitHub將惡意軟體推送至用戶電腦以盜取憑據

黑客利用GitHub將惡意軟體推送至用戶電腦以盜取憑據

幾個月前,我們曾發布了有關網路罪犯如何使用GitHub在被黑網站上載入各種加密貨幣礦工的報告文章。不幸的是即便如此,我們依然沒能阻止網路罪犯們的腳步。如今,我們又發現了使用相同手法的網路犯罪活動。其主要目的是利用GitHub,將二進位信息竊取惡意軟體悄無聲息的推送至Windows用戶的電腦上。


受感染的Magento網站


最近,識別了數百個受感染的Magento站點均被注入了以下的腳本:

<script type="text/javascript" src="//i1.wp.com/bit.wo[.]tc/js/lib/js.js"></script>

該腳本(

js.js

)中的內容如下:



此代碼會創建隱藏的div,並在短暫延遲後在正常網站內容上方顯示

假的Flash Player更新banner



這個攻擊與之前攻擊的區別主要在於下載URL,它指向了GitHub上的一個惡意文件:


https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe


3月13日,我們將該文件上傳至VirusTotal進行檢測,結果有一半以上的殺毒軟體都認為該文件為木馬病毒。當我們將它發送給Malwarebytes的Jerome Segura時,他認為該文件是

LokiBot

信息竊取惡意軟體的變體。


檢查GitHub存儲庫


在包含惡意文件的GitHub存儲庫中,可以找到對較差檢測率的答案:


https://github.com/flashplayer31/flash


帳戶(

flashplayer31

)和存儲庫(

flash

)都是在2018年3月8日被創建的,也就是說在我們檢測到惡意內容之前還不到一周。



GitHub存儲庫只包含兩個文件:

flashplayer28pp_xa_install.exe

(在以上部分已做介紹)和

flashplayer28pp_xa_install.iso

 - 包含ISO映像的特洛伊木馬,其中包含惡意

/FLASHPLA.EXE


如果你檢查存儲庫中的提交歷史記錄,你會發現這兩個二進位文件每天至少會被更新一次。


攻擊者之所以要頻繁的重新打包二進位文件,是為了儘可能的躲避殺毒軟體的查殺,然後將更改推送到Git,這就是為什麼我們在VirusTotal上主要看到通用和啟發式警告的原因。更新後的文件可以立即從GitHub上的主分支下載。


整個過程可以完全自動化的完成,並且可以在沒有任何人為干預的情況下工作。


將GitHub作為惡意軟體的託管環境


GitHub對於攻擊者而言作為託管環境有以下幾點優勢:





  • 它可以免費使用



  • 它適用於自動化



  • 該域名信譽度高,不易被安全工具列入黑名單


雖然我們可以對該賬戶投訴並最終禁用它,但是這需要很長一段時間 - 從濫用投訴到帳戶關閉 - 並且可以在幾分鐘內創建新的配置文件。


憑據竊取惡意軟體


讓我們回到惡意軟體本身。LokiBot被定義為「

infostealer

(信息竊取木馬)」,因為它能夠從各種流行的電子郵件客戶端和Web瀏覽器中竊取憑證。


該惡意軟體還能夠竊取來自數十個FTP客戶端(例如FileZilla,FlashFXP,WS_FTP等)和SSH程序(例如PUTTY)的登錄詳細信息,這對於

網站管理員和網站開發人員

都是非常危險的,攻擊者極有可能從他們的站點和伺服器竊取他們的憑證。


在6-10年前,這是黑客入侵網站最流行的媒介。一旦網站管理員的計算機受到感染,惡意軟體會簡單地掃描保存的FTP憑據(大多數FTP客戶端以純文本格式保存)的文件,然後將結果發送到控制伺服器。

雖然這種攻擊媒介現在不那麼受歡迎,但你仍然不能低估它潛在的威脅。


降低憑據竊取惡意軟體帶來的風險


自2008年開始我的網站安全工作以來,我對站點管理員的建議並沒有太大改變。


為防止你的站點憑據被盜,請確保你所維護站點的計算機和設備未受感染。你可以安裝一些知名度和聲譽較高的防護軟體,並定期修補/更新操作系統以及基本網路軟體,包括瀏覽器,FTP客戶端,CMS等。當然,這些更新都應來自軟體本身,而不是來自不相關的第三方網站。


你還應該避免將密碼保存在除可信度較高的任何其它密碼管理器以外的程序中。不要讓FileZilla保存你的FTP密碼,也不要在瀏覽器中存儲任何網站,網路郵件或銀行的密碼。


如果條件允許,我強烈建議你使用私鑰認證和/或雙因素認證。使用SFTP而不是FTP - 如今大多數的託管提供商都包含了此選項。


最後,如果你的密碼已被竊取(或任何安全事件之後),請儘快更改你的密碼。遵循這些步驟將能最大程度的降低你憑據失竊的風險。


*參考來源:sucuri

,FB小編 secist 編譯,轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

加熱器除了溫暖你的家,竟然還能挖礦?
沒事兒下個副本吧?逆向新手踩坑指南

TAG:FreeBuf |