情报背景
该项目由名为FuckRedTeam 的 github 用户于2022年7月24日发布,项目描述为国内某安全厂商产品的远程执行漏洞脚本。项目会从常用 UserAgent 库中加载fake_useragent包,实际上则被导入了投毒的fake_useragant-0.1.12包,当前投毒的fake_useragant-0.1.12已经被从pypi的官方库中删除。
组织名称 |
未知 |
关联组织 |
未知 |
战术标签 |
供应链、投毒、钓鱼 |
技术标签 |
python |
情报来源 |
https://github.com/FuckRedTeam/360tianqingRCE |
01 攻击技术分析
亮点1 仿冒fake_useragent进行投毒
引入的恶意fake_useragant,注意官方的拼写为fake_useragent(e被替换成a)
fake_useragant中的urlib2.py被投毒
疑似加密的恶意代码
解密后的执行代码,从远程加载运行后续代码
亮点2 套娃解密shellcode
PNG文件经过解密后,又是一段执行代码,经过2次套娃解密,最终将解密出shellcode创建线程加载运行。
整体步骤如下:
1. urlib2.py 解密加密代码,拉取解密远程的png文件,并执行解密后的二段代码
2. 二段代码使用AES解密执行代码,并执行
3. 再次使用AES解密出最终的shellcode,申请内存并创建进程执行
png文件解密结果,其中使用了AES库进行下一段解密
创建的线程来运行解密后的shellcode
02 总结
供应链攻击防不胜防。近期投毒事件频发,此次投毒绝不是唯一一次,大家在使用工具一定要擦亮眼睛,不要使用来源不明的工具软件。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
往期推荐
原文始发于微信公众号(M01N Team):攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”