几个月前,我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此,我们依然没能阻止网络罪犯们的脚步。如今,我们又发现了使用相同手法的网络犯罪活动。其主要目的是利用GitHub,将二进制信息窃取恶意软件悄无声息的推送至Windows用户的电脑上。
受感染的Magento网站最近,识别了数百个受感染的Magento站点均被注入了以下的脚本:
<script type="text/Javascript" src="https://bit.wo[.]tc/js/lib/js.js"></script>
该脚本( js.js)中的内容如下:
此代码会创建隐藏的div,并在短暂延迟后在正常网站内容上方显示假的Flash Player更新banner。
这个攻击与之前攻击的区别主要在于下载URL,它指向了GitHub上的一个恶意文件:
https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe
3月13日,我们将该文件上传至进行检测,结果有一半以上的杀毒软件都认为该文件为木马病毒。当我们将它发送给Malwarebytes的Jerome Segura时,他认为该文件是LokiBot信息窃取恶意软件的变体。
检查GitHub存储库在包含恶意文件的GitHub存储库中,可以找到对较差检测率的答案:
https://github.com/flashplayer31/flash
帐户(flashplayer31)和存储库(flash)都是在2018年3月8日被创建的,也就是说在我们检测到恶意内容之前还不到一周。
GitHub存储库只包含两个文件:
flashplayer28pp_xa_install.exe(在以上部分已做介绍)和flashplayer28pp_xa_install.iso – 包含ISO映像的,其中包含恶意/FLASHPLA.EXE。
如果你检查存储库中的提交历史记录,你会发现这两个二进制文件每天至少会被更新一次。
攻击者之所以要频繁的重新打包二进制文件,是为了尽可能的躲避杀毒软件的查杀,然后将更改推送到Git,这就是为什么我们在VirusTotal上主要看到通用和启发式警告的原因。更新后的文件可以立即从GitHub上的主分支下载。
整个过程可以完全自动化的完成,并且可以在没有任何人为干预的情况下工作。
将GitHub作为恶意软件的托管环境GitHub对于攻击者而言作为托管环境有以下几点优势:
它可以免费使用
它适用于自动化
该域名信誉度高,不易被安全工具列入黑名单
虽然我们可以对该账户投诉并最终禁用它,但是这需要很长一段时间 - 从滥用投诉到帐户关闭 – 并且可以在几分钟内创建新的配置文件。
凭据窃取恶意软件让我们回到恶意软件本身。LokiBot被定义为“infostealer(信息窃取木马)”,因为它能够从各种流行的电子邮件客户端和Web浏览器中窃取凭证。
该恶意软件还能够窃取来自数十个FTP客户端(例如FileZilla,FlashFXP,WS_FTP等)和SSH程序(例如PUTTY)的登录详细信息,这对于网站管理员和网站开发人员都是非常危险的,攻击者极有可能从他们的站点和服务器窃取他们的凭证。
在6-10年前,这是黑客入侵网站最流行的媒介。一旦网站管理员的计算机受到感染,恶意软件会简单地扫描保存的FTP凭据(大多数FTP客户端以纯文本格式保存)的文件,然后将结果发送到控制服务器。
虽然这种攻击媒介现在不那么受欢迎,但你仍然不能低估它潜在的威胁。
降低凭据窃取恶意软件带来的风险自2008年开始我的网站安全工作以来,我对站点管理员的建议并没有太大改变。
为防止你的站点凭据被盗,请确保你所维护站点的计算机和设备未受感染。你可以安装一些知名度和声誉较高的防护软件,并定期修补/更新操作系统以及基本网络软件,包括浏览器,FTP客户端,CMS等。当然,这些更新都应来自软件本身,而不是来自不相关的第三方网站。