有人正在使用据称包含对 regreSSHion 漏洞利用的档案来针对安全专家。
一个包含恶意代码的档案正在社交网络 X(以前称为 Twitter)上分发,以最近发现的 CVE-2024-6387(又名 regreSSHion)的漏洞为幌子。根据我们的专家的说法,这可能是攻击网络安全专家的企图。在这篇文章中,我们解释了档案中的实际内容,以及攻击者如何试图引诱研究人员进入陷阱。
档案背后的传奇
据推测,有一台服务器对 OpenSSH 中的 CVE-2024-6387 漏洞有效利用。此外,该服务器积极使用此漏洞来攻击 IP 地址列表。据称,该档案提供给任何希望调查此次攻击的人,其中包含一个有效的漏洞利用、IP 地址列表和某种有效载荷。
恶意档案的真实内容
事实上,该存档包含一些源代码、一组恶意二进制文件和脚本。源代码看起来像是此漏洞的非功能性概念验证的略微编辑版本,该版本已在公共领域分发。
其中一个脚本是用 Python 编写的,它模拟了在位于列表中的 IP 地址的服务器上利用漏洞。实际上,它会启动一个名为 exploit 的恶意文件——一种用于在系统中实现持久性并从远程服务器检索额外有效载荷的恶意软件。恶意代码保存在位于 /etc/cron.hourly 目录中的文件中。为了实现持久性,它修改了 ls 文件并将自身的副本写入其中,每次启动时都会重复执行恶意代码。
如何保持安全
显然,攻击的作者指望这样一个事实,即在处理明显恶意的代码时,研究人员倾向于禁用安全解决方案,并专注于分析恶意软件与易受 CVE-2024-6387 攻击的服务器之间的数据交换。同时,完全不同的恶意代码将被用来破坏研究人员的计算机。
因此,我们提醒所有信息安全专家和其他喜欢分析可疑代码的人员,不要在专门准备的隔离环境之外使用恶意软件,否则无法访问外部基础设施。
卡巴斯基产品通过以下判定检测此攻击的元素:
-
UDS:Trojan-Downloader.Shell.FakeChecker.a
-
UDS:Trojan.Python.FakeChecker.a
-
HEUR:Trojan.Linux.Agent.gen
-
Virus.Linux.Lamer.b
-
HEUR:DoS.Linux.Agent.dt
至于regreSSHion漏洞,正如我们之前所写的,它的实际利用远非简单。
原文始发于微信公众号(卡巴斯基网络安全大百科):对网络安全研究人员的攻击:regreSSHion 的伪漏洞利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论