过去几个月间,在GitHub网站上发布代码的开发者陆续遭到攻击,这些攻击都使用了一种鲜为人知却切实有效的网络间谍软件。攻击始于1月份,通过精心构造的恶意邮件吸引开发者注意,如请求他们为开发项目提供帮助或邀请他们参与有偿定制编程工作。
恶意邮件诱骗开发者下载恶意程序Dimnie
邮件中的.gz附件包含Word文档,其中嵌入了恶意宏代码。运行后,宏代码会执行PowerShell脚本,连接远程服务器,下载恶意程序Dimnie。根据Palo Alto Networks(PAN)研究员所说,Dimnie至少从2014年就出现了,但是一直默默无闻,直至今日,因为它将矛头主要对准了俄罗斯用户。
这款恶意软件使用了一些秘密技术,让恶意流量混杂到正常用户活动中。它发起的请求看似指向Google的一些域名,实际目的是受攻击者控制的IP地址。 PAN研究员在博文中提到 ,Dimnie可下载其他恶意模块,直接将这些模块注入到合法Windows进程内存中。这些模块在磁盘上无迹可寻,因而很难检测并分析。
还有不同的模块分别进行键盘记录、屏幕抓取、与计算机中的智能卡交互等等。甚至还有个自毁模块,可抹去系统驱动中的所有文件,以销毁恶意软件踪迹。攻击者从受感染计算机窃取数据后对数据加密,并将数据添加到图片文件头中,以绕过入侵防御系统。
Palo Alto研究员怀疑这起攻击来自国家支持
虽然PAN并未将这些攻击归咎于某一特定团体,但恶意软件特征与近期疑受国家支持的攻击明显类似:使用嵌入恶意宏的文件、使用PowerShell、将恶意代码直接加载入内存、使用秘密的命令与控制通道和数据外泄技术、高度定向的钓鱼行动等。
开发者对于网络间谍来说具有很高的价值。他们的计算机常含有私有信息及所在公司网络与系统的访问凭证。雅虎数据泄露事件就源于一位半特权员工轻信了鱼叉式钓鱼邮件,最终导致黑客获取了5亿用户的账户信息。
他们这份报告得出了如下结论
The global reach of the January 2017 campaign which we analyzed in this post is a marked departure from previous Dimnie targeting tactics. Multiple factors have contributed to Dimnie’s relatively long-lived existence. By masking upload and download network traffic as innocuous user activity, Dimnie has taken advantage of defenders’ assumptions about what normal traffic looks like. This blending in tactic, combined with a prior penchant for targeting systems used by Russian speakers, likely allowed Dimnie to remain relatively unknown.
Customers are protected by IPS, Dimnie is detected as malware by Wildfire, and Autofocus customers can see related samples using the Dimnie tag.
We are also including IOCs for this malware family dating back to 2014 which include domains from DNS lookups (Appendix A) and dropper hashes (Appendix B). IOCs specifically mentioned in this post are included in the next section.
Dimnie恶意软件的主要目的 是通过Github开发者在项目中注入后门
Dimnie攻击看似专门针对GitHub网站(该网站提供免费源代码托管服务)上的开发者。这类人包括大型公司开发人员和业余时间发布个人开源项目的开发人员。
1月份在回应一邮件攻击报道时,Mozilla策略工程师Gervase Markham称,他的一个邮箱曾收到过类似信息,而这个邮箱地址仅用于登录GitHub。这让他相信这种定向攻击可能是自动发起的。
攻击者在进入源代码库和分发服务器后,可在软件项目中注入后门或将编译好的二进制文件变为木马。这种事曾多次发生,例如,托管在项目官方网站上的Transmission BitTorrent客户端(macOS版本)曾两度被发现含有恶意软件。
原文发布时间:2017年3月31日
本文由:csoonline 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/attacker-attempting-into-back-door-in-github-open-source-projects
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站