在社交网络X上，有人散布一个包含恶意代码的归档文件，它伪装成最近发现的CVE-2024-6387漏洞（也称作regreSSHion）的利用程序。这个影响OpenSSH的漏洞利用程序已经引起了网络安全界的广泛关注。

然而，专家提醒，这个归档文件实际上是一个陷阱，目的是侵入下载者的系统。

归档背后的故事

这个具有欺骗性的归档文件编造了一个引人注意的故事。它声称包含了针对CVE-2024-6387漏洞的有效利用程序、受该漏洞影响的IP地址列表，以及攻击中使用的数据负载。

根据卡巴斯基实验室的报告，有服务器正在利用这个漏洞针对特定IP地址发动攻击，而这个归档文件被提供给了所有对调查这些攻击感兴趣的人。

这一诱人的提议吸引了许多网络安全专家，他们渴望分析这个漏洞利用程序，以理解其工作原理。

恶意归档的实际内容

与它所声称的相反，归档实际上包含了源代码、恶意二进制文件和脚本的混合体。

源代码看起来是对已公开的regreSSHion漏洞概念验证的轻微修改版本。

其中包含的一个Python脚本模拟了在IP地址文件中列出的服务器上利用该漏洞。

然而，它并不执行合法的分析，而是启动了一个名为“exploit”的恶意文件。这个恶意软件旨在在系统中实现长期驻留，并从远程服务器检索额外的有效载荷。

它将恶意代码保存在/etc/cron.hourly目录下，并修改ls命令以包含它自己的副本。

这确保了每次执行ls命令时，恶意代码都会被执行，从而使系统每次运行该命令时都受到威胁。

网络安全研究人员在下载和分析来自不可信来源的文件时应该格外小心，尤其是在社交媒体平台上分享的文件。

在打开任何归档文件之前，验证其真实性至关重要，并应使用隔离环境进行分析，以防止潜在的系统损害。

regreSSHion漏洞可能是一个严重的安全风险，但落入假冒漏洞利用程序的陷阱可能会给研究人员及其系统带来严重的后果。

• https://cybersecuritynews.com/fake-regresshion-exploit-attacking/
• https://santandersecurityresearch.github.io/blog/sshing_the_masses