国产一区激情在线,在线一区二区不卡

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心 | GitHub開源項目被投毒，后門病毒跟隨開發(fā)流程傳播蔓延

現(xiàn)如今，代碼的開放給軟件開發(fā)提供了諸多便利，GitHub就是其中極具代表性的平臺。然而隨著“開放”逐漸廣泛，其被惡意利用的風(fēng)險也隨之增加。近年來，一種隱蔽又危險的攻擊手段——代碼投毒，悄悄成了威脅開發(fā)者和用戶安全的隱患。攻擊者會在開源項目或代碼庫里植入有害代碼，這些看似正常的代碼，一旦被開發(fā)者無意中引入，就會在開發(fā)鏈條中蔓延，最終讓用戶也面臨安全風(fēng)險。

近期，火絨威脅情報中心監(jiān)測到一批GitHub投毒的惡意樣本。經(jīng)火絨工程師分析，該木馬利用多種編程語言（包括JavaScript、VBS、PowerShell、C#、C++）構(gòu)建復(fù)雜的進程鏈，最終實現(xiàn)惡意后門木馬功能。這種投毒攻擊方式不僅隱蔽性強，還可能通過軟件供應(yīng)鏈傳播到更廣泛的用戶群體中。目前，火絨安全產(chǎn)品已具備對該類GitHub投毒樣本的精準(zhǔn)識別能力，能夠有效阻斷其加載過程，為用戶系統(tǒng)提供可靠的安全保障。為了進一步增強系統(tǒng)防護能力，火絨安全建議廣大用戶及時更新病毒庫。這將確保您的系統(tǒng)能夠抵御最新威脅，防范潛在安全風(fēng)險。

查殺圖

一

GitHub投毒事件及潛在風(fēng)險

盡管此類攻擊看似主要針對開發(fā)者，但其潛在影響卻遠(yuǎn)不止于此，甚至可能波及每一位普通用戶。以下將詳細(xì)介紹此類攻擊的運作方式及其可能帶來的風(fēng)險，希望廣大用戶在了解后能夠進一步提升終端安全防護意識。

*攻擊的起點——開發(fā)者

攻擊者利用GitHub等開源平臺的開放性，將惡意代碼偽裝成正常工具，誘騙開發(fā)者下載和使用。而近年來，GitHub投毒攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域備受關(guān)注的熱點話題。開發(fā)者作為軟件的構(gòu)建者，一旦不慎落入陷阱，這些惡意代碼便會悄無聲息地潛入他們的開發(fā)環(huán)境。而開發(fā)者編寫的代碼和使用的工具，最終將會轉(zhuǎn)化為我們?nèi)粘Ｉ钪兴蕾嚨膽?yīng)用程序和服務(wù)。因此，一旦開發(fā)環(huán)境被污染，安全隱患便會順著開發(fā)流程蔓延，進而影響到每一位普通用戶。

*供應(yīng)鏈的連鎖反應(yīng)

在軟件開發(fā)的生態(tài)系統(tǒng)中，開發(fā)者所使用的工具和庫往往會通過軟件供應(yīng)鏈傳播到更廣泛的應(yīng)用中，它們會通過層層傳遞，融入到更廣泛的應(yīng)用程序中。例如：

一個被篡改的開源庫可能被集成到多個軟件項目中。由于開源庫的廣泛使用和高度共享性，這種篡改行為很容易在軟件開發(fā)過程中傳播開來。
這些軟件項目最終會發(fā)布到應(yīng)用商店，或者通過更新機制推送到用戶的設(shè)備上。在這個過程中，惡意代碼可能會隨著軟件的分發(fā)而擴散到用戶手中。

因此，即使我們從未直接接觸過GitHub或開源代碼，也可能因為使用了某個被感染的軟件而成為受害者。

*潛在風(fēng)險

隱私泄露：惡意代碼可能會竊取個人信息，如賬號密碼、瀏覽器Cookies等。
遠(yuǎn)程控制：攻擊者可能通過遠(yuǎn)程訪問工具控制設(shè)備，甚至監(jiān)控使用者的一舉一動。
經(jīng)濟損失：竊取的信息可能被用于欺詐或勒索，導(dǎo)致使用者遭受財產(chǎn)損失。
數(shù)據(jù)勒索：惡意代碼可能導(dǎo)致設(shè)備運行緩慢、頻繁崩潰，以及加密數(shù)據(jù)以勒索設(shè)備擁有者。

而火絨威脅情報中心監(jiān)測到的這一批惡意樣本，就存在盜取信息導(dǎo)致隱私泄露、遠(yuǎn)程控制等風(fēng)險，以下為樣本分析內(nèi)容。

二

樣本分析

執(zhí)行流程圖

2.1 樣本信息

該樣本通過利用Visual Studio的PreBuildEvent機制執(zhí)行惡意命令，生成VBS腳本以下載7z解壓工具和惡意壓縮包SearchFilter.7z。解壓后，樣本加載一個基于Electron框架的程序，該程序具備反調(diào)試和虛擬機檢測功能，能夠規(guī)避安全分析環(huán)境。隨后，程序從GitHub下載并解壓第二個惡意壓縮包BitDefender.7z，進一步釋放多個惡意模塊，包括后門工具（如AsyncRAT、Quasar、Remcos）、剪貼板劫持組件以及Lumma Stealer竊密木馬。

這些模塊共同構(gòu)建了一個多層次、功能完備的惡意行為鏈，能夠?qū)崿F(xiàn)遠(yuǎn)程控制、剪貼板內(nèi)容篡改、瀏覽器Cookie及其他敏感信息竊取等破壞性操作，對用戶系統(tǒng)安全構(gòu)成嚴(yán)重威脅。

2.2 Loader動靜態(tài)分析

首先，病毒利用GitHub進行傳播，通過Visual Studio的PreBuildEvent命令執(zhí)行cmd命令。

測試執(zhí)行calc

配置文件

以下是GitHub中Apex-Legends-External-Cheat-Hack-Trigger-Glow-Aimbot-Skin-More-Hwid-Spoofer外掛作弊軟件項目中的惡意命令。

惡意命令

對其執(zhí)行的命令進行分析，發(fā)現(xiàn)攻擊者采用了Base64加密的VBS腳本。解密后，腳本內(nèi)容被寫入到名為b.vbs的文件中。

Base64加密

對其進行解密。

解密

解密后的VBS腳本通過反轉(zhuǎn)字符串、Base64解碼等方式對混淆內(nèi)容進行處理，并利用Invoke-Expression執(zhí)行解碼后的指令。此外，腳本通過調(diào)用pWN $bnb來運行隱藏的惡意邏輯。

解密VBS腳本

最終解密之后是一段PowerShell腳本，主要功能如下。

多層遞歸調(diào)用與Base64解碼：腳本通過多層遞歸調(diào)用和Base64解碼技術(shù)，逐步解析出隱藏的下載地址，確保其隱蔽性。
下載7z解壓工具：腳本從指定地址下載7z解壓工具，并將其保存到C:\ProgramData\sevenZip目錄中。
執(zhí)行SearchFilter.exe：在下載并解壓相關(guān)文件后，腳本會執(zhí)行SearchFilter.exe，以加載后續(xù)的惡意功能。
清理痕跡：腳本會在執(zhí)行完成后刪除下載的壓縮包文件。

下載7z

下載執(zhí)行惡意程序

解密關(guān)鍵信息：

下載鏈接：
https://github.com/Fxkw45/delhi-metro/releases/download/metro/SearchFilter.7z
該鏈接指向托管在GitHub上的惡意壓縮包SearchFilter.7z。
解壓密碼：
hR3^&b2%A9!gK*6LqP7t$NpW
該密碼用于解壓下載的SearchFilter.7z文件，以釋放其中的惡意內(nèi)容。

解密鏈接與解壓密碼

其下載鏈接指向了一個Fork的GitHub項目，攻擊者利用GitHub的合法外衣來托管惡意樣本。

GitHub鏈接

使用解密的解壓密碼對其進行解壓，其主體是一個Electron程序的病毒。

Electron程序

對Electron程序進行解包后，發(fā)現(xiàn)其主文件是一個大小為1.03MB的JavaScript腳本文件，包含20000多行代碼，且代碼經(jīng)過高度混淆。為了還原其邏輯，采用以下方法進行解混淆。

AST（抽象語法樹）分析：
通過構(gòu)建JavaScript代碼的抽象語法樹（AST），對代碼結(jié)構(gòu)進行解析和重構(gòu)，以識別混淆邏輯并還原原始代碼。
定位最長數(shù)組：
在混淆代碼中，通常會將字符串、函數(shù)名等關(guān)鍵信息存儲在數(shù)組中，并通過索引調(diào)用。通過分析代碼中最長的數(shù)組，可以定位到關(guān)鍵的解密邏輯。
引用追蹤與解密器定位：
通過追蹤最長數(shù)組的引用關(guān)系，找到解密器的核心邏輯。解密器通常用于動態(tài)還原被混淆的字符串或函數(shù)，從而恢復(fù)代碼的可讀性。
逐步解混淆：
在定位解密器后，逐步還原被混淆的代碼邏輯，包括字符串解密、函數(shù)調(diào)用還原以及控制流扁平化的修復(fù)，最終恢復(fù)出可讀的JavaScript代碼。

去除JavaScript混淆

之后對其混淆并重命名變量名。

去混淆代碼

解混淆的邏輯是通過下載執(zhí)行的方式，繼續(xù)從GitHub進行下載進一步的后門與lumma stealer。

其首先通過執(zhí)行反虛擬機，通過獲取操作系統(tǒng)版本，檢測CPU核心數(shù)，顯卡名稱、硬盤空余大小的方式進行反虛擬機。

檢測虛擬機

之后腳本通過Base64解碼對加密內(nèi)容進行解密，并生成PowerShell腳本用于反調(diào)試。該腳本通過調(diào)用反調(diào)試技術(shù)，試圖阻止安全分析工具對惡意樣本調(diào)試。

反調(diào)試

對生成的antiDebug.ps1進行分析，發(fā)現(xiàn)代碼通過IsTargetProcess方法檢測以下進程（均為常見的調(diào)試工具、網(wǎng)絡(luò)分析工具和系統(tǒng)監(jiān)控工具）：

調(diào)試工具：
watcher.exe
ProcessHacker.exe
SystemInformer.exe
procexp.exe（Process Explorer）
網(wǎng)絡(luò)分析工具：
HttpAnalyzerStdV7.exe
mitmdump.exe
mitmproxy.exe
mitmweb.exe
Charles.exe
Fiddler.exe
Fiddler Everywhere.exe
Fiddler.WebUi.exe
HTTPDebuggerUI.exe
HTTPDebuggerSvc.exe
HTTPDebuggerPro.exe
Progress Telerik Fiddler Web Debugger.exe
HTTP Debugger Pro.exe
Wireshark.exe
API 測試工具：
Postman.exe
Insomnia.exe
HTTP Toolkit.exe
安全工具：
BurpSuiteCommunity.exe（Burp Suite Community Edition）
文件監(jiān)控工具：
FolderChangesView.exe

之后通過調(diào)用 TerminateProcess 終止調(diào)試進程，阻止安全工具的運行。

結(jié)束進程

之后，腳本通過Base64解碼生成disabledefender.ps1 和 disabledefenderv2.ps1兩個PowerShell腳本。這些腳本執(zhí)行以下惡意操作。

修改Windows Defender排除項：將整個C盤添加到Windows Defender的排除列表中，使Defender無法掃描和檢測C盤中的惡意文件。
禁用系統(tǒng)還原功能：關(guān)閉系統(tǒng)還原功能，阻止用戶通過系統(tǒng)還原點恢復(fù)系統(tǒng)。
刪除卷影副本：清除所有卷影副本（Shadow Copy），徹底刪除系統(tǒng)備份，使用戶無法通過備份恢復(fù)數(shù)據(jù)。

添加Defender排除項

之后，腳本從GitHub下載包含后門功能和Lumma Stealer的壓縮包文件。具體信息如下。

GitHub下載鏈接：
https://github.com/nguyendeptrai2004/ARFramework/releases/download/Muck/BitDefender.7z
解壓密碼：
SaToshi780189.!

下載惡意文件主體

GitHub鏈接

解壓文件

執(zhí)行隱藏文件夾。

隱藏文件夾

之后將解壓之后的taskhostw.exe添加到計劃任務(wù)執(zhí)行C2功能。

添加計劃任務(wù)

2.3 lumma stealer

解壓出來的NVIDIA Control Panel.exe負(fù)責(zé)執(zhí)行l(wèi)umma stealer功能，該樣本同樣是一個Electron程序。對其進行分析，其采用API竊取以下信息。

Cookie
Reddit
instagram
tiktok
spotify
Netflix
GitHub
Roblox
Email
ChatGPT
Valorant 無畏契約
SQLite數(shù)據(jù)庫
獲取OpenVPN信息
獲取Electronic Arts配置信息
獲取聊天軟件信息
Discord
Telegram
獲取游戲信息
EpicGamesLauncher
RiotGames
Steam

竊取Cookie

2.4 后門分析

解壓后得到的 Taskhostw.exe 是一個負(fù)責(zé)實現(xiàn)C2（命令與控制）功能的Electron程序。對其進行解包操作后，發(fā)現(xiàn)該樣本同樣采用了大量代碼混淆和膨脹技術(shù)。通過解混淆分析，其核心邏輯如下。

進程注入：
該樣本通過進程注入技術(shù)實現(xiàn)其惡意功能，具體利用以下合法程序作為注入目標(biāo)。
RegAsm.exe：.NET程序集注冊工具，被用于加載惡意代碼。
DWWIN.exe：Windows錯誤報告工具，被用于隱藏惡意行為。
多次注入：
樣本通過多次注入的方式，將惡意代碼加載到不同的進程中，以規(guī)避檢測并實現(xiàn)持久化。
C2功能：
注入成功后，樣本與遠(yuǎn)程C2服務(wù)器建立通信，接收攻擊者指令，執(zhí)行包括遠(yuǎn)程控制、數(shù)據(jù)竊取、文件操作等惡意行為。

樣本將加密的后門模塊打包進Electron程序，首先采用PowerShell方式對后門模塊進行AES加鹽解密。

AES加鹽解密

提取出來解密算法如下。

解密算法

對應(yīng)的解密腳本。

解密腳本

解密之后的8個后門模塊中，包括.NET程序的后門、shellcode形式的后門以及剪貼板盜竊替換程序。其中，.NET程序在初始時通過進程注入的方式，將其核心Rat_PE完整地注入到RegAsm.exe進程中。而shellcode版本的后門則采用內(nèi)存加載.NET PE程序的方式執(zhí)行惡意代碼。以下是具體信息。

boot和Kernel：這兩個模塊是AsyncRAT的后門，AsyncRAT是一種開源的遠(yuǎn)程訪問工具（RAT），通過安全加密連接實現(xiàn)遠(yuǎn)程監(jiān)控和控制。
thread：該模塊用于監(jiān)聽、替換和上傳剪貼板信息。
magnify：該模塊是Quasar的后門，Quasar是一款使用C#編寫的快速、輕量級的遠(yuǎn)程管理工具，開源。
cryptwizard：該模塊是Remcos的后門，Remcos是一種遠(yuǎn)程訪問木馬工具，未開源。
boot_f和Kernel_f：這兩個模塊是AsyncRAT的shellcode版本，通過內(nèi)存加載的方式執(zhí)行惡意代碼。
thread_f：該模塊是剪貼板盜竊程序的shellcode版本，同樣通過內(nèi)存加載的方式執(zhí)行惡意代碼。

后門模塊對應(yīng)表

后門模塊文件

詳細(xì)分析：

對.net初始程序進行分析發(fā)現(xiàn)，存量代碼混淆。

注入代碼

對其進行解混淆，分析其為注入器代碼，解密內(nèi)存中的PE，并將其注入到C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe。

內(nèi)存解密出PE

注入進程

將PE進行Dump，同樣是一個.net程序，將釋放出來的.net程序分別進行dump其PE，發(fā)現(xiàn)存在以下4種程序。

AsyncRAT
Quasar
剪貼板匹配替換上傳程序
Remcos

首先對Kernel、boot進行分析發(fā)現(xiàn)，其后門采用AsyncRAT開源遠(yuǎn)控。

其Kennel_f、boot_f模塊對應(yīng)其shellcode內(nèi)存加載.net版本。

入口點對比如下。

AsyncRAT對比

AsyncRAT版本號0.5.8與官網(wǎng)相同。

AsyncRAT版本

后門地址。

后門地址

該后門支持以下功能。

功能圖

主窗口

對后續(xù)后門進行分析發(fā)現(xiàn)，三個模塊采用同樣的方式對C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe進行注入。

對magnify模塊分析發(fā)現(xiàn)其采用Quasar,其同樣是一個開源遠(yuǎn)控，一款快速、輕量級的遠(yuǎn)程管理工具，使用C#編寫。

入口點對比如下。

Quasar對比

其功能支持以下。

Quasar功能圖

對thread模塊進行分析，發(fā)現(xiàn)其是剪貼板程序，其主要負(fù)責(zé)監(jiān)控剪貼板信息，并匹配剪貼板首字符替換相應(yīng)的礦池地址，并將其原始剪貼板信息發(fā)送到Telegram Bot，其thread_f模塊對應(yīng)其shellcode內(nèi)存加載.net版本。