Sahte GitHub Depoları Kötü Amaçlı Yazılımları YİNE PoC Olarak Bırakırken Yakalandı!


Dolandırıcılıkta açılan arka kapı, ana bilgisayar adı, kullanıcı adı ve kapsamlı bir giriş dizini içeriği listesi dahil olmak üzere çok çeşitli verileri sızdırma yeteneğine sahipti.

Siber güvenlik araştırmacıları, güvenlik topluluğu içinde aldatıcı bir eğilimi ortaya çıkardı: GitHub Bu, güvenlik açıklarını gideriyor gibi görünse de aslında gizli bir arka kapı içerir. Uptycs tehdit araştırma ekibi tarafından yapılan keşif, güvenlik araştırma topluluğu arasında endişelere yol açtı.

PoC’ler tipik olarak araştırmacılar tarafından kullanılan zararsız test yoluyla potansiyel güvenlik açıklarını belirlemek için. Ancak, bu kötü amaçlı PoC, bir indirici olarak çalışır ve faaliyetlerini çekirdek düzeyinde bir işlem olarak gizlerken sessizce bir Linux bash betiğini yürütür.

Arka kapı, ana bilgisayar adı, kullanıcı adı ve kapsamlı bir giriş dizini içeriği listesi dahil olmak üzere çok çeşitli verileri sızdırma yeteneğine sahiptir. Ayrıca, bir saldırgan SSH anahtarını yetkili_anahtarlar dosyasına ekleyerek hedeflenen sistem üzerinde tam kontrol sağlayabilir.

Sahte GitHub Depoları Kötü Amaçlı Yazılımları YİNE PoC Olarak Bırakırken Yakalandı!
Kötü amaçlı PoC’leri yaymak için kullanılan GitHub’daki sahte profillerden biri (İmaj kredisi: Uptycs)

Burada Hackread.com, yukarıdaki GitHub profilinde kullanılan görüntünün uluslararası olarak bilinen Shahriyar Hamid oğlu Mammadyarov’a ait olduğunu münhasır olarak doğrulayabilir. Shakhriyar Mamedyarov, Azerbaycanlı satranç ustası. Profil resmi bir yerden çalındı. Blog yazısı Ve bir YouTube videosu Satrançla ilgili popüler YouTube kanalı ChessBase India tarafından yayınlandı.

Arka kapı, PoC’lerin çeşitli Ortak Güvenlik Açıkları ve Riskler (CVE’ler) için test edilmesi sırasında, Uptycs ekibi kritik güvenlik açığını giderdiğini iddia eden bir PoC ile karşılaştığında keşfedildi. CVE-2023-35829. Ancak, PoC’nin meşruiyeti hakkında şüphe uyandıran birkaç olağandışı etkinlik tespit ettiler.

Şüpheli davranışlar, beklenmedik ağ bağlantılarını, anormal veri aktarımlarını ve sisteme yetkisiz erişim girişimlerini kapsıyordu. Daha fazla araştırma, ek analiz gerektiren “aclocal.m4” dosyasının önemini ortaya çıkardı.

İkili dosyanın birincil işlevi, aldatmada çok önemli bir rol oynayan ilginç bir dizi “kworker” içerir. Kod, ikili dosyanın “kworker” olarak adlandırılıp adlandırılmadığını kontrol eder ve buna göre belirli eylemler gerçekleştirir. arka kapı ısrarı dosya manipülasyonu yoluyla.

onların içinde rapor, Uptycs Threat Research ekibinden Nischay Hegde ve Siddartha Malladi, PoC’nin orijinal komut satırı parametrelerini gizleyen yeni bir süreç oluşturmak için çatallanma kullandığını yazdı. Ana süreç daha sonra bir bash betiği içeren bir URL’yi indiren “curl_func()” işlevini yürütür. Curl isteği başarılı olursa betik yürütülür.

Sahte PoC, başka bir Linux çekirdeği güvenlik açığı için meşru bir açıktan yararlanmanın bir kopyasıdır. CVE-2022-34918. Kullanıcıları aldatmak için kullanıcı ad alanlarındaki farklılıklardan yararlanarak bir kök kabuk olduğu yanılsamasını yaratır. Ancak verilen ayrıcalıklar, belirli bir ad alanı içindeki “/bin/bash” kabuğu ile sınırlıdır.

Sahte GitHub Depoları Kötü Amaçlı Yazılımları YİNE PoC Olarak Bırakırken Yakalandı!
Sahte PocC (solda) – Orijinal PoC (sağda) – (Resim kredisi: Uptycs)

Uptycs Extended Detection and Response (XDR) kullanılarak, ikili dosyanın davranışı öncelikle bir indirici olarak tanımlandı. Uzak bir kaynaktan bir komut dosyası alır ve güvenliği ihlal edilmiş sistemde yürütür. İndirilen komut dosyası “/etc/passwd” dosyasına erişir ve “~/.ssh/yetkili_keys” dosyasını yetkisiz erişime izin verecek şekilde değiştirir ve belirli bir URL kullanarak verileri sızdırır.

Bu olay münferit değildir; daha geçen ay, bildirildi GitHub ve Twitter’daki birkaç sahte hesap, hem Windows hem de Linux tabanlı sistemlere bulaşan kötü amaçlı PoC’de kötü amaçlı yazılım yayıyordu.

Yazma sırasında, ChriSander22’nin depoları kaldırıldı. Kötü amaçlı PoC, GitHub’dan da kaldırılmış olsa da, geniş çapta paylaşıldı ve gerçek doğası açığa çıkmadan önce önemli ölçüde etkileşimle sonuçlandı. PoC’yi yürütenler, yüksek veri güvenliği riski altındadır.

Bu nedenle, yetkisiz SSH anahtarlarının kaldırılması, “kworker” dosyasının silinmesi, “bashrc” dosyasından kworker yolunun kaldırılması ve “/tmp/.iCE-unix.pid” dosyasındaki potansiyel tehditlerin kontrol edilmesi dahil olmak üzere hemen harekete geçmek çok önemlidir. ”

Kötü Amaçlı Havuzlar

  • https://github.com/apkc/CVE-2023-35829-poc
  • https://github.com/ChriSanders22/CVE-2023-20871-poc/
  • https://github.com/ChriSanders22/CVE-2023-35829-poc/ (arşiv bağlantısı)

Meşru ve kötü amaçlı PoC’ler arasında ayrım yapmak zor olabilir ve güvenlik araştırmacıları, bunlara karşı korumayı artırmak için sanal makineler gibi yalıtılmış ortamlarda test yapmak gibi güvenli uygulamaları benimsemeye teşvik edilir. Gelişen siber güvenlik riskleri.

  1. Sahte Profillerle LinkedIn Kullanıcılarını Hedefleyen Dolandırıcılar
  2. Sahte Bir Hukuk Firmasını Temsil Etmek İçin Kullanılan Yapay Zeka Tarafından Oluşturulan Görüntüler
  3. Sahte Facebook Profilleri, Sys01 Stealer’ı Zorlayan Google Reklamları
  4. Sahte LinkedIn İş Teklifi Dolandırıcılığı Axie Infinity’den 625 Milyon Dolar Hacklendi
  5. Bilgisayar Korsanları InfoSec Uzmanlarını Hedef Almak İçin Sahte Siber Güvenlik Firması Kurdu



Source link