截至撰写本文时,所有报告的假冒存储库均已被删除,恶意PoC已从GitHub中删除。骗局中植入的后门能够窃取广泛的数据,包括主机名、用户名和主目录内容的完整列表。
网络安全研究人员发现了安全社区中的一种欺骗性趋势——GitHub上的概念验证(PoC)存储库看似解决了漏洞,但实际上包含隐藏的后门。Uptycs威胁研究团队的发现引起了安全研究界的担忧。
研究人员通常使用PoC通过无害测试来识别潜在漏洞。然而,这个恶意PoC作为下载程序运行,将其活动伪装成内核级进程,同时默默地执行Linux bash脚本。
该后门能够窃取广泛的数据,包括主机名、用户名和主目录内容的完整列表。此外,通过将SSH密钥添加到authorized_keys文件中,攻击者可以实现对目标系统的完全控制。
在这里,可以确认上述GitHub个人资料中使用的图像属于Shahriyar Hamid oghlu Mammadyarov,国际上称为Shakhriyar Mamedyarov,他是阿塞拜疆国际象棋特级大师。该个人资料图片是从流行的国际象棋相关YouTube频道ChessBase India发布的博客文章和YouTube视频中盗取的。
该后门是在对各种常见漏洞和暴露(CVE)进行PoC测试时发现的,当时Uptycs团队遇到了一个声称可以解决关键漏洞CVE-2023-35829的PoC。然而,他们发现了一些不寻常的活动,引发了人们对PoC合法性的怀疑。
可疑行为包括意外的网络连接、异常的数据传输以及未经授权的系统访问尝试。进一步的调查揭示了“aclocal.m4”文件的重要性,需要进行额外的分析。
二进制文件的主要功能包含一个有趣的字符串“kworker”,它在欺骗中起着至关重要的作用。该代码检查二进制文件是否名为“kworker”并相应地执行特定操作,通过文件操作建立后门持久性。
Uptycs威胁研究团队的Nischay Hegde和Siddartha Malladi在他们的报告中写道,PoC使用分叉来创建新进程,从而模糊了原始命令行参数。然后,父进程执行“curl_func()”函数,该函数下载包含bash脚本的URL。如果curl请求成功,则执行该脚本。
伪造的PoC是另一个Linux内核漏洞CVE-2022-34918的合法利用的副本。它创造了一个root shell的假象,利用用户命名空间的差异来欺骗用户。但是,授予的权限仅限于特定命名空间内的“/bin/bash”shell。
使用Uptycs扩展检测和响应(XDR),该二进制文件的行为主要被识别为下载程序。它从远程源检索脚本并在受感染的系统上执行它。下载的脚本访问“/etc/passwd”文件并修改“~/.ssh/authorized_keys”文件以授予未经授权的访问权限并使用特定URL窃取数据。
这起事件并非孤立事件;就在上个月,有报道称GitHub和Twitter上的几个虚假帐户正在恶意PoC中传播恶意软件,这些恶意软件感染了基于Windows和Linux的系统。
在撰写本文时,ChriSander22的存储库已被删除。尽管恶意PoC也已从GitHub中删除,但它被广泛分享,在其真实性质被曝光之前就引起了广泛关注。执行 PoC 的人面临着很高的数据泄露风险。
因此,立即采取行动至关重要,包括删除未经授权的SSH密钥、删除“kworker”文件、从“bashrc”文件中删除kworker路径以及检查“/tmp/.iCE-unix.pid”中是否存在潜在威胁。 ”。
恶意的存储库:
1. https://github.com/apkc/CVE-2023-35829-poc
2. https://github.com/ChriSanders22/CVE-2023-20871-poc/
3. https://github.com/ChriSanders22/CVE-2023-35829-poc/(存档链接)
区分合法和恶意PoC可能具有挑战性,我们鼓励安全研究人员采用安全实践,例如在虚拟机等隔离环境中进行测试,以增强针对这些不断变化的网络安全风险的防护。
评论已关闭。