欢乐颂第二季,完美世界辰东小说

新聞資訊

最新資訊

聯(lián)系我們

手機(jī)：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動(dòng)態(tài)

首頁 > 行業(yè)動(dòng)態(tài)

火絨華南銷售及服務(wù)中心 | GitHub開源項(xiàng)目被投毒，后門病毒跟隨開發(fā)流程傳播蔓延

現(xiàn)如今，代碼的開放給軟件開發(fā)提供了諸多便利，GitHub就是其中極具代表性的平臺(tái)。然而隨著“開放”逐漸廣泛，其被惡意利用的風(fēng)險(xiǎn)也隨之增加。近年來，一種隱蔽又危險(xiǎn)的攻擊手段——代碼投毒，悄悄成了威脅開發(fā)者和用戶安全的隱患。攻擊者會(huì)在開源項(xiàng)目或代碼庫里植入有害代碼，這些看似正常的代碼，一旦被開發(fā)者無意中引入，就會(huì)在開發(fā)鏈條中蔓延，最終讓用戶也面臨安全風(fēng)險(xiǎn)。

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到一批GitHub投毒的惡意樣本。經(jīng)火絨工程師分析，該木馬利用多種編程語言（包括JavaScript、VBS、PowerShell、C#、C++）構(gòu)建復(fù)雜的進(jìn)程鏈，最終實(shí)現(xiàn)惡意后門木馬功能。這種投毒攻擊方式不僅隱蔽性強(qiáng)，還可能通過軟件供應(yīng)鏈傳播到更廣泛的用戶群體中。目前，火絨安全產(chǎn)品已具備對(duì)該類GitHub投毒樣本的精準(zhǔn)識(shí)別能力，能夠有效阻斷其加載過程，為用戶系統(tǒng)提供可靠的安全保障。為了進(jìn)一步增強(qiáng)系統(tǒng)防護(hù)能力，火絨安全建議廣大用戶及時(shí)更新病毒庫。這將確保您的系統(tǒng)能夠抵御最新威脅，防范潛在安全風(fēng)險(xiǎn)。

查殺圖

一

GitHub投毒事件及潛在風(fēng)險(xiǎn)

盡管此類攻擊看似主要針對(duì)開發(fā)者，但其潛在影響卻遠(yuǎn)不止于此，甚至可能波及每一位普通用戶。以下將詳細(xì)介紹此類攻擊的運(yùn)作方式及其可能帶來的風(fēng)險(xiǎn)，希望廣大用戶在了解后能夠進(jìn)一步提升終端安全防護(hù)意識(shí)。

*攻擊的起點(diǎn)——開發(fā)者

攻擊者利用GitHub等開源平臺(tái)的開放性，將惡意代碼偽裝成正常工具，誘騙開發(fā)者下載和使用。而近年來，GitHub投毒攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域備受關(guān)注的熱點(diǎn)話題。開發(fā)者作為軟件的構(gòu)建者，一旦不慎落入陷阱，這些惡意代碼便會(huì)悄無聲息地潛入他們的開發(fā)環(huán)境。而開發(fā)者編寫的代碼和使用的工具，最終將會(huì)轉(zhuǎn)化為我們?nèi)粘Ｉ钪兴蕾嚨膽?yīng)用程序和服務(wù)。因此，一旦開發(fā)環(huán)境被污染，安全隱患便會(huì)順著開發(fā)流程蔓延，進(jìn)而影響到每一位普通用戶。

*供應(yīng)鏈的連鎖反應(yīng)

在軟件開發(fā)的生態(tài)系統(tǒng)中，開發(fā)者所使用的工具和庫往往會(huì)通過軟件供應(yīng)鏈傳播到更廣泛的應(yīng)用中，它們會(huì)通過層層傳遞，融入到更廣泛的應(yīng)用程序中。例如：

一個(gè)被篡改的開源庫可能被集成到多個(gè)軟件項(xiàng)目中。由于開源庫的廣泛使用和高度共享性，這種篡改行為很容易在軟件開發(fā)過程中傳播開來。
這些軟件項(xiàng)目最終會(huì)發(fā)布到應(yīng)用商店，或者通過更新機(jī)制推送到用戶的設(shè)備上。在這個(gè)過程中，惡意代碼可能會(huì)隨著軟件的分發(fā)而擴(kuò)散到用戶手中。

因此，即使我們從未直接接觸過GitHub或開源代碼，也可能因?yàn)槭褂昧四硞€(gè)被感染的軟件而成為受害者。

*潛在風(fēng)險(xiǎn)

隱私泄露：惡意代碼可能會(huì)竊取個(gè)人信息，如賬號(hào)密碼、瀏覽器Cookies等。
遠(yuǎn)程控制：攻擊者可能通過遠(yuǎn)程訪問工具控制設(shè)備，甚至監(jiān)控使用者的一舉一動(dòng)。
經(jīng)濟(jì)損失：竊取的信息可能被用于欺詐或勒索，導(dǎo)致使用者遭受財(cái)產(chǎn)損失。
數(shù)據(jù)勒索：惡意代碼可能導(dǎo)致設(shè)備運(yùn)行緩慢、頻繁崩潰，以及加密數(shù)據(jù)以勒索設(shè)備擁有者。

而火絨威脅情報(bào)中心監(jiān)測(cè)到的這一批惡意樣本，就存在盜取信息導(dǎo)致隱私泄露、遠(yuǎn)程控制等風(fēng)險(xiǎn)，以下為樣本分析內(nèi)容。

二

樣本分析

執(zhí)行流程圖

2.1 樣本信息

該樣本通過利用Visual Studio的PreBuildEvent機(jī)制執(zhí)行惡意命令，生成VBS腳本以下載7z解壓工具和惡意壓縮包SearchFilter.7z。解壓后，樣本加載一個(gè)基于Electron框架的程序，該程序具備反調(diào)試和虛擬機(jī)檢測(cè)功能，能夠規(guī)避安全分析環(huán)境。隨后，程序從GitHub下載并解壓第二個(gè)惡意壓縮包BitDefender.7z，進(jìn)一步釋放多個(gè)惡意模塊，包括后門工具（如AsyncRAT、Quasar、Remcos）、剪貼板劫持組件以及Lumma Stealer竊密木馬。

這些模塊共同構(gòu)建了一個(gè)多層次、功能完備的惡意行為鏈，能夠?qū)崿F(xiàn)遠(yuǎn)程控制、剪貼板內(nèi)容篡改、瀏覽器Cookie及其他敏感信息竊取等破壞性操作，對(duì)用戶系統(tǒng)安全構(gòu)成嚴(yán)重威脅。

2.2 Loader動(dòng)靜態(tài)分析

首先，病毒利用GitHub進(jìn)行傳播，通過Visual Studio的PreBuildEvent命令執(zhí)行cmd命令。

測(cè)試執(zhí)行calc

配置文件

以下是GitHub中Apex-Legends-External-Cheat-Hack-Trigger-Glow-Aimbot-Skin-More-Hwid-Spoofer外掛作弊軟件項(xiàng)目中的惡意命令。

惡意命令

對(duì)其執(zhí)行的命令進(jìn)行分析，發(fā)現(xiàn)攻擊者采用了Base64加密的VBS腳本。解密后，腳本內(nèi)容被寫入到名為b.vbs的文件中。

Base64加密

對(duì)其進(jìn)行解密。

解密

解密后的VBS腳本通過反轉(zhuǎn)字符串、Base64解碼等方式對(duì)混淆內(nèi)容進(jìn)行處理，并利用Invoke-Expression執(zhí)行解碼后的指令。此外，腳本通過調(diào)用pWN $bnb來運(yùn)行隱藏的惡意邏輯。

解密VBS腳本

最終解密之后是一段PowerShell腳本，主要功能如下。

多層遞歸調(diào)用與Base64解碼：腳本通過多層遞歸調(diào)用和Base64解碼技術(shù)，逐步解析出隱藏的下載地址，確保其隱蔽性。
下載7z解壓工具：腳本從指定地址下載7z解壓工具，并將其保存到C:\ProgramData\sevenZip目錄中。
執(zhí)行SearchFilter.exe：在下載并解壓相關(guān)文件后，腳本會(huì)執(zhí)行SearchFilter.exe，以加載后續(xù)的惡意功能。
清理痕跡：腳本會(huì)在執(zhí)行完成后刪除下載的壓縮包文件。

下載7z

下載執(zhí)行惡意程序

解密關(guān)鍵信息：

下載鏈接：
https://github.com/Fxkw45/delhi-metro/releases/download/metro/SearchFilter.7z
該鏈接指向托管在GitHub上的惡意壓縮包SearchFilter.7z。
解壓密碼：
hR3^&b2%A9!gK*6LqP7t$NpW
該密碼用于解壓下載的SearchFilter.7z文件，以釋放其中的惡意內(nèi)容。

解密鏈接與解壓密碼

其下載鏈接指向了一個(gè)Fork的GitHub項(xiàng)目，攻擊者利用GitHub的合法外衣來托管惡意樣本。

GitHub鏈接

使用解密的解壓密碼對(duì)其進(jìn)行解壓，其主體是一個(gè)Electron程序的病毒。

Electron程序

對(duì)Electron程序進(jìn)行解包后，發(fā)現(xiàn)其主文件是一個(gè)大小為1.03MB的JavaScript腳本文件，包含20000多行代碼，且代碼經(jīng)過高度混淆。為了還原其邏輯，采用以下方法進(jìn)行解混淆。

AST（抽象語法樹）分析：
通過構(gòu)建JavaScript代碼的抽象語法樹（AST），對(duì)代碼結(jié)構(gòu)進(jìn)行解析和重構(gòu)，以識(shí)別混淆邏輯并還原原始代碼。
定位最長(zhǎng)數(shù)組：
在混淆代碼中，通常會(huì)將字符串、函數(shù)名等關(guān)鍵信息存儲(chǔ)在數(shù)組中，并通過索引調(diào)用。通過分析代碼中最長(zhǎng)的數(shù)組，可以定位到關(guān)鍵的解密邏輯。
引用追蹤與解密器定位：
通過追蹤最長(zhǎng)數(shù)組的引用關(guān)系，找到解密器的核心邏輯。解密器通常用于動(dòng)態(tài)還原被混淆的字符串或函數(shù)，從而恢復(fù)代碼的可讀性。
逐步解混淆：
在定位解密器后，逐步還原被混淆的代碼邏輯，包括字符串解密、函數(shù)調(diào)用還原以及控制流扁平化的修復(fù)，最終恢復(fù)出可讀的JavaScript代碼。

去除JavaScript混淆

之后對(duì)其混淆并重命名變量名。

去混淆代碼

解混淆的邏輯是通過下載執(zhí)行的方式，繼續(xù)從GitHub進(jìn)行下載進(jìn)一步的后門與lumma stealer。

其首先通過執(zhí)行反虛擬機(jī)，通過獲取操作系統(tǒng)版本，檢測(cè)CPU核心數(shù)，顯卡名稱、硬盤空余大小的方式進(jìn)行反虛擬機(jī)。

檢測(cè)虛擬機(jī)

之后腳本通過Base64解碼對(duì)加密內(nèi)容進(jìn)行解密，并生成PowerShell腳本用于反調(diào)試。該腳本通過調(diào)用反調(diào)試技術(shù)，試圖阻止安全分析工具對(duì)惡意樣本調(diào)試。

反調(diào)試

對(duì)生成的antiDebug.ps1進(jìn)行分析，發(fā)現(xiàn)代碼通過IsTargetProcess方法檢測(cè)以下進(jìn)程（均為常見的調(diào)試工具、網(wǎng)絡(luò)分析工具和系統(tǒng)監(jiān)控工具）：

調(diào)試工具：
watcher.exe
ProcessHacker.exe
SystemInformer.exe
procexp.exe（Process Explorer）
網(wǎng)絡(luò)分析工具：
HttpAnalyzerStdV7.exe
mitmdump.exe
mitmproxy.exe
mitmweb.exe
Charles.exe
Fiddler.exe
Fiddler Everywhere.exe
Fiddler.WebUi.exe
HTTPDebuggerUI.exe
HTTPDebuggerSvc.exe
HTTPDebuggerPro.exe
Progress Telerik Fiddler Web Debugger.exe
HTTP Debugger Pro.exe
Wireshark.exe
API 測(cè)試工具：
Postman.exe
Insomnia.exe
HTTP Toolkit.exe
安全工具：
BurpSuiteCommunity.exe（Burp Suite Community Edition）
文件監(jiān)控工具：
FolderChangesView.exe

之后通過調(diào)用 TerminateProcess 終止調(diào)試進(jìn)程，阻止安全工具的運(yùn)行。

結(jié)束進(jìn)程

之后，腳本通過Base64解碼生成disabledefender.ps1 和 disabledefenderv2.ps1兩個(gè)PowerShell腳本。這些腳本執(zhí)行以下惡意操作。

修改Windows Defender排除項(xiàng)：將整個(gè)C盤添加到Windows Defender的排除列表中，使Defender無法掃描和檢測(cè)C盤中的惡意文件。
禁用系統(tǒng)還原功能：關(guān)閉系統(tǒng)還原功能，阻止用戶通過系統(tǒng)還原點(diǎn)恢復(fù)系統(tǒng)。
刪除卷影副本：清除所有卷影副本（Shadow Copy），徹底刪除系統(tǒng)備份，使用戶無法通過備份恢復(fù)數(shù)據(jù)。

添加Defender排除項(xiàng)

之后，腳本從GitHub下載包含后門功能和Lumma Stealer的壓縮包文件。具體信息如下。

GitHub下載鏈接：
https://github.com/nguyendeptrai2004/ARFramework/releases/download/Muck/BitDefender.7z
解壓密碼：
SaToshi780189.!

下載惡意文件主體

GitHub鏈接

解壓文件

執(zhí)行隱藏文件夾。

隱藏文件夾

之后將解壓之后的taskhostw.exe添加到計(jì)劃任務(wù)執(zhí)行C2功能。

添加計(jì)劃任務(wù)

2.3 lumma stealer

解壓出來的NVIDIA Control Panel.exe負(fù)責(zé)執(zhí)行l(wèi)umma stealer功能，該樣本同樣是一個(gè)Electron程序。對(duì)其進(jìn)行分析，其采用API竊取以下信息。

Cookie
Reddit
instagram
tiktok
spotify
Netflix
GitHub
Roblox
Email
ChatGPT
Valorant 無畏契約
SQLite數(shù)據(jù)庫
獲取OpenVPN信息
獲取Electronic Arts配置信息
獲取聊天軟件信息
Discord
Telegram
獲取游戲信息
EpicGamesLauncher
RiotGames
Steam

竊取Cookie

2.4 后門分析

解壓后得到的 Taskhostw.exe 是一個(gè)負(fù)責(zé)實(shí)現(xiàn)C2（命令與控制）功能的Electron程序。對(duì)其進(jìn)行解包操作后，發(fā)現(xiàn)該樣本同樣采用了大量代碼混淆和膨脹技術(shù)。通過解混淆分析，其核心邏輯如下。

進(jìn)程注入：
該樣本通過進(jìn)程注入技術(shù)實(shí)現(xiàn)其惡意功能，具體利用以下合法程序作為注入目標(biāo)。
RegAsm.exe：.NET程序集注冊(cè)工具，被用于加載惡意代碼。
DWWIN.exe：Windows錯(cuò)誤報(bào)告工具，被用于隱藏惡意行為。
多次注入：
樣本通過多次注入的方式，將惡意代碼加載到不同的進(jìn)程中，以規(guī)避檢測(cè)并實(shí)現(xiàn)持久化。
C2功能：
注入成功后，樣本與遠(yuǎn)程C2服務(wù)器建立通信，接收攻擊者指令，執(zhí)行包括遠(yuǎn)程控制、數(shù)據(jù)竊取、文件操作等惡意行為。

樣本將加密的后門模塊打包進(jìn)Electron程序，首先采用PowerShell方式對(duì)后門模塊進(jìn)行AES加鹽解密。

AES加鹽解密

提取出來解密算法如下。

解密算法

對(duì)應(yīng)的解密腳本。

解密腳本

解密之后的8個(gè)后門模塊中，包括.NET程序的后門、shellcode形式的后門以及剪貼板盜竊替換程序。其中，.NET程序在初始時(shí)通過進(jìn)程注入的方式，將其核心Rat_PE完整地注入到RegAsm.exe進(jìn)程中。而shellcode版本的后門則采用內(nèi)存加載.NET PE程序的方式執(zhí)行惡意代碼。以下是具體信息。

boot和Kernel：這兩個(gè)模塊是AsyncRAT的后門，AsyncRAT是一種開源的遠(yuǎn)程訪問工具（RAT），通過安全加密連接實(shí)現(xiàn)遠(yuǎn)程監(jiān)控和控制。
thread：該模塊用于監(jiān)聽、替換和上傳剪貼板信息。
magnify：該模塊是Quasar的后門，Quasar是一款使用C#編寫的快速、輕量級(jí)的遠(yuǎn)程管理工具，開源。
cryptwizard：該模塊是Remcos的后門，Remcos是一種遠(yuǎn)程訪問木馬工具，未開源。
boot_f和Kernel_f：這兩個(gè)模塊是AsyncRAT的shellcode版本，通過內(nèi)存加載的方式執(zhí)行惡意代碼。
thread_f：該模塊是剪貼板盜竊程序的shellcode版本，同樣通過內(nèi)存加載的方式執(zhí)行惡意代碼。

后門模塊對(duì)應(yīng)表

后門模塊文件

詳細(xì)分析：

對(duì).net初始程序進(jìn)行分析發(fā)現(xiàn)，存量代碼混淆。

注入代碼

對(duì)其進(jìn)行解混淆，分析其為注入器代碼，解密內(nèi)存中的PE，并將其注入到C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe。

內(nèi)存解密出PE

注入進(jìn)程

將PE進(jìn)行Dump，同樣是一個(gè).net程序，將釋放出來的.net程序分別進(jìn)行dump其PE，發(fā)現(xiàn)存在以下4種程序。

AsyncRAT
Quasar
剪貼板匹配替換上傳程序
Remcos

首先對(duì)Kernel、boot進(jìn)行分析發(fā)現(xiàn)，其后門采用AsyncRAT開源遠(yuǎn)控。

其Kennel_f、boot_f模塊對(duì)應(yīng)其shellcode內(nèi)存加載.net版本。

入口點(diǎn)對(duì)比如下。

AsyncRAT對(duì)比

AsyncRAT版本號(hào)0.5.8與官網(wǎng)相同。

AsyncRAT版本

后門地址。

后門地址

該后門支持以下功能。

功能圖

主窗口

對(duì)后續(xù)后門進(jìn)行分析發(fā)現(xiàn)，三個(gè)模塊采用同樣的方式對(duì)C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe進(jìn)行注入。

對(duì)magnify模塊分析發(fā)現(xiàn)其采用Quasar,其同樣是一個(gè)開源遠(yuǎn)控，一款快速、輕量級(jí)的遠(yuǎn)程管理工具，使用C#編寫。

入口點(diǎn)對(duì)比如下。

Quasar對(duì)比

其功能支持以下。

Quasar功能圖

對(duì)thread模塊進(jìn)行分析，發(fā)現(xiàn)其是剪貼板程序，其主要負(fù)責(zé)監(jiān)控剪貼板信息，并匹配剪貼板首字符替換相應(yīng)的礦池地址，并將其原始剪貼板信息發(fā)送到Telegram Bot，其thread_f模塊對(duì)應(yīng)其shellcode內(nèi)存加載.net版本。