網絡安全專家 Carlo Zanchi,來自 ReversingLabs 公司,近期發現了一種新的黑客趨勢,其中黑客們越來越頻繁地利用 GitHub 平臺傳播惡意軟件。他指出,以前,惡意軟件作者通常會將其惡意軟件的副本托管在 Dropbox、Google Drive、OneDrive 和 Discord 等平臺上,但現在越來越多的惡意軟件直接托管在 GitHub 上。

黑客一直偏好使用公共服務來托管和運行惡意軟件。這種做法使得惡意基礎設施難以停用,因為沒有人愿意為了阻止某些危險的僵尸網絡而徹底關閉像Google Drive這樣的服務。公共服務還允許黑客將惡意網絡流量與受感染網絡上的合法通信混在一起,這使得及時檢測和應對威脅變得更加困難。因此,黑客濫用GitHub上的Gist代碼片段存儲服務展示了這一趨勢的發展。對于黑客而言,將惡意代碼存儲在這種小型存儲庫中,并根據需要安全地傳輸到受感染的主機,幾乎沒有比這更方便的了。

ReversingLabs 已經發現了 PyPI 平臺上的多個軟件包,這些軟件包包括:

“httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5”。這些軟件包偽裝成用于處理代理網絡的庫,但實際上包含了一個 Base64 編碼的 URL。這些 URL 導致一個秘密的 Gist 存儲在一個一次性 GitHub 帳戶中,而沒有任何公共項目。

研究人員還發現了黑客積極使用的另一種利用 GitHub 的方法。這里已經涉及到版本控制系統的功能了。其中,黑客在單擊“Git commit”按鈕時依賴具有更改歷史記錄的消息,通過惡意軟件從中提取命令,然后在受感染的系統上執行它們。

關鍵點是,惡意軟件放置在已經受感染的計算機上,掃描特定存儲庫的提交歷史記錄以查找特定消息。這些提交消息包含隱藏命令,然后由軟件提取并在受害者的計算機上執行。

Zanchi 強調,使用 GitHub 作為 C2 基礎設施本身并不新鮮,但濫用 Gists 和 Git commit 等功能是黑客近年來越來越多使用的創新方法。

使用 GitHub 等流行且值得信賴的平臺作為網絡犯罪的基礎設施是一個非常令人震驚的趨勢,這表明了黑客的聰明才智。

盡管服務本身安全可靠,但黑客不斷尋找各種漏洞引入惡意代碼和 C2 命令。這對公司和用戶來說都是一個行動信號——他們需要提高警惕并使用現代手段來防御威脅。

惡意軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接