Palo Alto研究员称 未知攻击者使用恶意程序Dimnie攻击Github开发者 企图在开源项目中注入后门

简介:

过去几个月间,在GitHub网站上发布代码的开发者陆续遭到攻击,这些攻击都使用了一种鲜为人知却切实有效的网络间谍软件。攻击始于1月份,通过精心构造的恶意邮件吸引开发者注意,如请求他们为开发项目提供帮助或邀请他们参与有偿定制编程工作。

Dimnie.png

恶意邮件诱骗开发者下载恶意程序Dimnie

邮件中的.gz附件包含Word文档,其中嵌入了恶意宏代码。运行后,宏代码会执行PowerShell脚本,连接远程服务器,下载恶意程序Dimnie。根据Palo Alto Networks(PAN)研究员所说,Dimnie至少从2014年就出现了,但是一直默默无闻,直至今日,因为它将矛头主要对准了俄罗斯用户。

这款恶意软件使用了一些秘密技术,让恶意流量混杂到正常用户活动中。它发起的请求看似指向Google的一些域名,实际目的是受攻击者控制的IP地址。 PAN研究员在博文中提到 ,Dimnie可下载其他恶意模块,直接将这些模块注入到合法Windows进程内存中。这些模块在磁盘上无迹可寻,因而很难检测并分析。

还有不同的模块分别进行键盘记录、屏幕抓取、与计算机中的智能卡交互等等。甚至还有个自毁模块,可抹去系统驱动中的所有文件,以销毁恶意软件踪迹。攻击者从受感染计算机窃取数据后对数据加密,并将数据添加到图片文件头中,以绕过入侵防御系统。

Palo Alto研究员怀疑这起攻击来自国家支持

虽然PAN并未将这些攻击归咎于某一特定团体,但恶意软件特征与近期疑受国家支持的攻击明显类似:使用嵌入恶意宏的文件、使用PowerShell、将恶意代码直接加载入内存、使用秘密的命令与控制通道和数据外泄技术、高度定向的钓鱼行动等。

开发者对于网络间谍来说具有很高的价值。他们的计算机常含有私有信息及所在公司网络与系统的访问凭证。雅虎数据泄露事件就源于一位半特权员工轻信了鱼叉式钓鱼邮件,最终导致黑客获取了5亿用户的账户信息。

他们这份报告得出了如下结论

The global reach of the January 2017 campaign which we analyzed in this post is a marked departure from previous Dimnie targeting tactics. Multiple factors have contributed to Dimnie’s relatively long-lived existence. By masking upload and download network traffic as innocuous user activity, Dimnie has taken advantage of defenders’ assumptions about what normal traffic looks like. This blending in tactic, combined with a prior penchant for targeting systems used by Russian speakers, likely allowed Dimnie to remain relatively unknown.

Customers are protected by IPS, Dimnie is detected as malware by Wildfire, and Autofocus customers can see related samples using the Dimnie tag.

We are also including IOCs for this malware family dating back to 2014 which include domains from DNS lookups (Appendix A) and dropper hashes (Appendix B). IOCs specifically mentioned in this post are included in the next section.

Dimnie恶意软件的主要目的 是通过Github开发者在项目中注入后门

Dimnie攻击看似专门针对GitHub网站(该网站提供免费源代码托管服务)上的开发者。这类人包括大型公司开发人员和业余时间发布个人开源项目的开发人员。

1月份在回应一邮件攻击报道时,Mozilla策略工程师Gervase Markham称,他的一个邮箱曾收到过类似信息,而这个邮箱地址仅用于登录GitHub。这让他相信这种定向攻击可能是自动发起的。

攻击者在进入源代码库和分发服务器后,可在软件项目中注入后门或将编译好的二进制文件变为木马。这种事曾多次发生,例如,托管在项目官方网站上的Transmission BitTorrent客户端(macOS版本)曾两度被发现含有恶意软件。


原文发布时间:2017年3月31日

本文由:csoonline 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/attacker-attempting-into-back-door-in-github-open-source-projects

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
20天前
|
Web App开发 人工智能 开发者
【创意坊】探秘 GitHub 惊艳开源项目!
【创意坊】探秘 GitHub 惊艳开源项目!
31 0
|
29天前
|
前端开发 NoSQL Java
Github开源项目详解--Mall(一)
Github开源项目详解--Mall(一)
28 0
|
1月前
|
语音技术
如何在GitHub正确提PR(Pull Requests),给喜欢的开源项目贡献代码
最好的中文TTS项目Bert-vits2更新了中文特化分支,但可能由于时间仓促,代码中存在不少的bug,作为普通用户,有的时候也想为自己喜欢的开源项目做一点点贡献,帮助作者修改一些简单的bug,那么该如何开始? 本次我们以Bert-vits2项目为例子,分享正确提交PR(Pull Requests)的方式。
|
2月前
|
Linux 数据库
大学生参与GitHub开源项目的方法
大学生参与GitHub开源项目的方法
43 0
|
2月前
|
存储 搜索推荐 Java
开发者热议GitHub代码搜索政策,最佳搜索解决方案探索
近日,名为koepnick 的开发者因在一台老式电脑上使用GitHub 搜索自己的存储库代码,却没有手机等设备协助验证,导致无法登录GitHub 账户,发文怒斥GitHub:如若没有登录,就无法使用搜索代码服务,与其这样不如弃用。 其实,早在今年6月,GitHub 官方便发布了一封《代码搜索现在需要登录》的公告内容,官宣除了在 GitHub.com 上全局搜索代码已经需要用户登录的政策之后,自 6 月 7 日起,这一政策将其扩展为包括存储库范围的搜索。即要访问 GitHub 的新代码搜索和代码导航的全部功能,需要创建账户或登录 GitHub.com。
|
2月前
|
机器学习/深度学习 人工智能 测试技术
软件测试/人工智能|GitHub Copilot:开发者新利器
软件测试/人工智能|GitHub Copilot:开发者新利器
61 0
|
3月前
|
前端开发 NoSQL Java
Github开源项目详解--Mall(一)
Github开源项目详解--Mall(一)
37 0
|
3月前
|
小程序 JavaScript 开发工具
如何运行github上的mpvue小程序开源项目
如何运行github上的mpvue小程序开源项目
39 0
|
3月前
如何在本地运行查看github上的开源项目
如何在本地运行查看github上的开源项目
75 0
|
3月前
|
JavaScript 前端开发 算法
2018上半年GitHub上最热门的开源项目
2018上半年GitHub上最热门的开源项目
51 0