近年来,利用开源生态的信任在GitHub伪装开源项目进行恶意代码“投毒”的攻击活动持续存在。自2024年底以来,安天CERT持续监测到通过此方式投递使用Electron打包的远控木马的攻击活动。攻击者通过伪装漏洞利用工具、游戏外挂等,针对下载开源项目进行编译、开发和使用的用户群体,将恶意代码植入开源代码的Visual Studio项目编译配置中,使项目在编译时先执行隐蔽命令,并利用多层不同语言和编译工具链开发的载荷实现混淆加载,规避安全检测,最终执行使用Electron打包的远控木马。相关攻击活动仍在活跃,样本中载荷下载URL等基础设施仍可访问。
目前相关样本在各类杀毒引擎中检出率较低,安天AVL SDK反病毒引擎通过全格式精准识别和深度预处理,支持对使用Electron打包的asar等格式的应用程序分发包裹文件进行细粒度拆解,对内嵌的恶意脚本等子文件进行精准检测。安天智甲终端防御系统可实现对该远控木马的有效查杀。
ASAR文件是一种常用于Electron应用程序的专有格式。其全称为“Atom Shell Archive”,是一种档案文件格式,类似于ZIP或TAR,能够将多个文件打包整合为一个文件。它把应用所需的众多文件,如JavaScript文件、HTML文件、CSS文件、图片、字体等资源,按照特定的结构和算法打包成一个文件。
该格式文件相关信息详见安天病毒百科。
图 1-1长按识别二维码查看ASAR文件详细信息
攻击者创建漏洞利用工具、游戏外挂等内容的开源项目,在其Visual Studio项目配置中嵌入恶意编译配置代码,并上传至GitHub开源平台,利用开源用户对开源资源的信任诱导下载。
图 2‑1在开源平台的部分投毒项目
伪装的项目利用GitHub Action功能自动向项目仓库中反复提交当前日期,使得项目最后更新日期始终较新,增加受害者下载编译项目的几率。其提交代码使用了硬编码的邮箱地址[email protected]。
图 2‑2自动提交项目代码
恶意代码通过Visual Studio项目的PreBuildEvent机制触发,该设置项用于指定项目编译前执行的命令行代码,存储在项目文件中(.*proj文件,如.vcproj、.vbproj等),可通过项目属性窗口查看,无法通过检查项目源代码发现。当编译项目代码时恶意代码便会触发执行。
图 2‑3通过项目属性查看恶意代码
图 2‑4通过项目文件查看恶意代码
该代码利用Bat、PowerShell脚本和Base64、AES等算法,嵌套执行多层后续载荷,尝试从pastebin、rlim等多个公开网站中获取下载地址,从该地址下载一个包含多个文件的加密压缩包并解压(压缩包中的文件为Electron打包的一组Node.JS程序),然后执行解压出的主程序SearchFilter.exe。使用Electron打包的程序实际执行的是JavaScript代码,代码进行了高度扁平化混淆,实现了通过Telegram API回传系统信息、反虚拟机、关闭Windows Defender反病毒软件、屏幕截图、计划任务持久化、下载后续载荷等远控功能。
图 2‑5多层载荷
图 2‑6下载执行的Electron打包程序
由于攻击手法较新,截至本报告发稿时,在国家计算机病毒协同分析平台中,恶意开源项目的.vbproj工程文件在各杀毒引擎中检出率较低,目前仅安天检出。
图 2‑7样本检出情况
进一步关联攻击手法、提交代码邮箱地址([email protected])等信息,发现了更多嵌入了恶意代码的恶意开源项目,项目创建时间几天内到几个月内不等,说明攻击仍在持续进行中,具体列表如下所示。请注意避免下载以下包含恶意代码的开源项目文件。
图 3‑1发现病毒时,智甲第一时间捕获并发送告警
智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。
图 3‑2通过智甲管理中心查看并完成威胁事件处置
图 4‑1技术特点对应ATT&CK的映射
ATT&CK技术行为描述表如下。
|
|
}
安天澜砥威胁检测分析垂直大模型是国内首个通过国家网信办备案的威胁检测生成式模型。模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成,训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等,支持对不同场景下向量特征进行威胁判定和输出详实的知识理解,形成应用不同需求和场景的多形态的检测方式,提升后台隐蔽威胁判定能力,进一步为安全运营赋能。
图 5‑1安天澜砥威胁检测分析垂直大模型样本分析结果
|
URL |
|
https://rlim.com/seraswodinsx/raw |
|
https://popcorn-soft.glitch.me/popcornsoft.me |
|
https://pastebin.com/raw/LC0H4rhJ |
|
https://pastejustit.com/raw/tfauzcl5xj |
|
https://github.com/unheard44/fluid_bean/releases/download/releases/SearchFilter.7z |
|
MD5 |
|
|
19A2ABA4E6B2C96C45A404A35AC9F302 |
976D02B2567125131C707C03C97F4593 |
|
1ABC159DFE1C1375F5FB935FA83185B8 |
9C9DB4C1F98A6E2A89E104AF803E80C7 |
|
3829E837F6D29C7B2FA8E06C798D7EAC |
A0A162A82E0CA0F43643FC842B7D3775 |
|
3D396670A8494DB9246491E0C3D3EAFE |
A0EE88E4F69C3B97B86B86A73F93E2EB |
|
48F75BFCC571EAB5318C99DE1DFF2543 |
B41FBCB71C23E469BCDB94C8692B7418 |
|
4F0B9C2F1848F2081A099E4E3E0DE6F1 |
B71C0960D6AB4F6332595BDEBEBCAF5A |
|
4FABE1ABAE75BE0C4DA16E440D0E3F84 |
BD11D5DA183FA3DD7BF923073E305A32 |
|
57E2A3587C2A74CA31FE0799F0CDB0E8 |
C0F503A88BB0568CBC37169C2DA4E6F8 |
|
59F25C363C0DBC6C1D63F6968E180055 |
C332B4DC17F962DC5D856E3AE5025303 |
|
5B320E19CA10A6E3F3F0DAF6BAB3EF46 |
D12F585DBAC74FD2445B47447A10DEF0 |
|
5E39A413A2D83EDC484541313FBBDB1F |
E1DF5B5E9812C5D65F1E5893A668112E |
|
6C3B95FA628A33073EBDA2A8B23E991F |
E335E6A1D22702FEEED2367DDBC30DA2 |
|
6E5AE6D2C1EF55B817D474C1019D8E8C |
F604752DD982930E8D0412F8B2AA817C |
|
7B574745F57E85648852C5B776C5F5A9 |
F7BE2CAA2D0C3DD06D8D2A32EBF243B7 |
|
8C91BE158349799D93BD1D384002465B |
FB5A9459CFD2F1C0DB9BDCD90C11E7CB |
|
F237706156DF9761F419FE5729A7045B |
837B9B6A3E38AD1A6C58CF9130B28DA9 |
|
C964F701CCB7B17776E21A9082F9E3B2 |
|
https://mp.weixin.qq.com/s/MF2lvyH6BxBE_muCwkOCPg
原文始发于微信公众号(安天集团):隐匿的威胁:伪装成开源Visual Studio项目的活跃“投毒”事件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论