惡意軟件偽裝成漏洞PoC進行傳播

數據竊取惡意軟件偽裝成虛假Linux漏洞利用PoC。

近日，Uptycs安全研究人員在GitHub上發現一個虛假的CVE-2023-35829漏洞利用PoC代碼，該漏洞利用代碼會安裝Linux密碼竊取惡意軟件。

研究人員發現該惡意PoC會嘗試進行網絡連接、進行非授權的系統訪問、以及數據傳輸。研究人員一共在3個GitHub倉庫中發現了該惡意PoC漏洞利用，其中2個易被移除。Uptycs 已將該情報在社區進行了共享，所以該惡意軟件感染用戶數量可能并不多。

圖 推送惡意軟件的惡意GitHub庫

惡意PoC

CVE-2023-35829是一個高位的釋放后使用漏洞，影響Linux kernel 6.3.2及之前版本。該虛假PoC聲稱是CVE-2023-35829的漏洞利用代碼。而事實上該虛假PoC只是CVE-2022-34918漏洞利用代碼的一個副本。

圖 兩個PoC代碼的比較

惡意PoC利用了namespaces使系統認為其是root shell，雖然其權限仍然在用戶namespace中。

圖 創建虛假Shell的代碼段

啟動后，PoC后創建一個kworker文件，并將其路徑添加到'/etc/bashrc'文件中以實現在系統中的駐留。

然后會與攻擊者的C2服務器取得聯系，并從外部URL下載和執行Linux bash腳本。

下載的腳本會訪問'/etc/passwd'文件從系統中竊取有價值的數據，修改'~/.ssh/authorized_keys'來授予攻擊者遠程訪問服務器的權限，最后使用curl和'transfer.sh'來竊取數據。

該腳本竊取的數據包括用戶名、主機名、受害者home目錄的內容。理論上講，攻擊者有服務器的訪問權限，因此可以竊取服務器上的所有內容。

Bash腳本會將其操作偽裝成kernel級進程來繞過檢測，因為系統管理員傾向于信任kernel進程，一般不會對其日志進行審查。

不要信任漏洞利用代碼

Uptycs建議下載了該虛假漏洞PoC的用戶執行以下操作：

移除未認證的ssh key；

刪除kworker文件；

從bashrc文件中移除kworker路徑；

Remove any unauthorized ssh keys

檢查 /tmp/.iCE-unix.pid。

此外，從互聯網下載的PoC代碼應在虛擬機等沙箱和管理環境中進行測試，如果有可能的話，還應對在執行前對代碼進行檢查。向VirusTotal提交可快速識別惡意文件。

使用虛假PoC攻擊安全研究人員也并不少見。6月，VulnCheck研究人員就發現一個偽裝成安全公司研究人員來推送惡意軟件的攻擊活動，使用的是Chrome、MS Exchange和Discord 0 day漏洞利用。2022年10月，研究人員發現論文稱GitHub上有約10.3%的PoC代碼可能是惡意軟件。2021年，朝鮮黑客組織Lazarus也是使用虛假PoC來安裝后門以攻擊安全研究人員。