某網絡安全廠商產品爆重大漏洞？假的！投毒攻擊了解一下

“千萬別把撿來的U盤隨便插在自己電腦上”，這個道理大家都懂，可是當黑客把“投毒”的形式變一變，就不那么容易辨別了。

2022年7月24日18時左右，一個名叫“FuckRedTeam”(淦紅隊）的用戶在代碼托管平臺Github提交了一個項目，名為：“3**t****gRCE”，意思是：國內某知名網絡安全廠商產品的遠程代碼執行漏洞利用腳本。

7月24日當晚，有匿名用戶在X情報社區發布消息表示這個項目“不太對勁”，是一個投毒項目！

經排查，微步在線發現：

該項目會從python常用UserAgent庫中加載一個名為“fake_useragant”模塊，該模塊系偽裝合法的“fake_useragent”。

字母e替換為a，一字之差，就能把人帶進溝里。

誰干的？

微步在線通過Pypi（Python官方第三方庫索引）官方網站查詢發現，偽裝代碼“fake_useragant”于2022年7月20日上傳，上傳者昵稱為“Join”，注冊時間為2022年7月11日。

也就說，這個攻擊者在兩周前就開始籌備這起“投毒”。

目前已被刪除，但部分國內下載源已經同步且可下載。

經過進一步分析，微步在線發現該模塊包中的urllib2.py文件存在可疑代碼：

解碼后，發現它會連接一個地址下載圖片并進行解碼，其圖片地址:

http://i.miaosu.bid/data/f_35461354.png

這是一種常見的手法，把惡意代碼偽裝成一個png圖片，實際上并不是圖片，就是改了一個后綴名，然后在文件最開始加了一行偽裝圖片的字符。

微步在線對這張“圖片”進行多次AES解密：

最后通過進行線程執行解密，發現其解密代碼會通過icmp隧道（一種通信協議）與黑客的C&C（命令與控制）服務器 120.79.87.123 通信，以獲取下一步payload（載荷）。

目前C&C已失活（木馬連不上黑客的服務器，可能是黑客暫時關掉控制程序，也有可能直接跑路了……），暫未獲取進一步的惡意代碼，調查仍在繼續。