一
前言
2022年7月24日晚,有人发现github上存在可疑项目。该项目疑似为红队投毒,以RCE漏洞为诱饵,伪装常用的fake_useragent-0.1.11包,导入投毒的fake_useragant-0.1.12包,项目地址:https://github.com/FuckRedTeam/360tianqingRCE。思路:伪装包,伪装包名:fake_useragant(正常包名为:fake_useragent),加载base64编码过后的shellcode。
二
事件概述
查看github中给出的源码,可以看到主要是导入的包名并非官方的fake_useragent。
目前官方已经将该包删除,但在其他镜像站中找到了该包,均为0.1.12版本,而在清华大学的镜像站中我们找到了和其他几处不同的版本,为1.1.2版本,而且手段基本相同,C&C有所不同。
//可下载:fake-useragant-0.1.12
//可下载:fake-useragant-0.1.12
//可下载:fake-useragant-1.1.2(版本不一样)
中国科学技术大学:https://pypi.mirrors.ustc.edu.cn/simple/
提取该样本shellcode中的IP地址,为120.79.87.123和39.105.114.235。查询均为阿里云主机,两台主机均已经被https://ti.dbappsecurity.com.cn/标记。
三
样本分析
第一阶段:
查看fake_useragant包中的urllib2.py
之后还有一层base64和AES_CBC
最终解码拼接可以得到:
第二阶段:
第二段解密的结果:
进入第二段shellcode中,可以发现加载了IPHLPAPI.DLL和msvcrt.dll
之后调用VirtualAlloc、IcmpCreateFile和IcmpSendEcho,猜测是通过ICMP来传输数据。
跳转到IcmpSendEcho函数处查看参数可以得知通信的IP地址,这里为转化过后的in_addr结构,所以IP为120.79.87.123。
抓包查看通信过程,这里ICMP每次发包5次就会进行30s的sleep,分析时该IP地址已经不会进行icmp响应。
下方还存在内存拷贝和一次调用,猜测在icmp响应之后会进行一次拷贝解密的操作进入到下一阶段的执行。
四
IOC
| 120.79.87.123 |
| 39.105.114.235 |
| http://i.miaosu.bid/data/f_35461354[.]png |
| http://i.miaosu.bid/data/f_20133572[.]png |
五
安恒信息CERT
安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
安恒信息CERT
2022年7月
原文始发于微信公众号(安恒信息CERT):关于Github上一份可疑代码的pypi污染库分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论