内存安全周报第26期 | 新的恶意软件滥用 GitHub 和 Imgur入侵系统
嗨,2021年了,祝关注内存安全专栏的朋友「四季常安」。
过去的2020年,我们推出了25期内存安全周报栏目,我们用了「50个成语」,从「知己知彼,百战不殆」到「心中有数,料事如神」,我们为大家呈现当前发生过的与内存安全相关的事件,帮助更广泛的企业CSO、CIO以及安全负责人更好的理解和认识到内存安全问题。
或许你还不太了解内存攻击如何发生,或者你还没有意识到内存安全其实离你很近,互联网时代使得信息自由的同时,却也让我们淹没在数据当中,使得很多人看不清楚网络威胁发生在何处。然,今天不在你身边发生的事,不代表没发生。
关注内存安全,带你了解更多前沿、专业的安全知识,保护企业核心业务不被阻断,核心数据资产不被窃取。
新的恶意软件滥用 GitHub 和 Imgur入侵系统。
1月2日,与MuddyWater APT组织相关的新恶意软件被发现,它使用Word文件与宏下载在GitHub上托管的 PowerShell 脚本,该脚本从图像共享社区Imgur下载合法的图像文件,而Imgur被攻击者用来在Windows系统上解码Cobalt Strike脚本。
具体攻击过程
该恶意软件在旧版 Microsoft Word (*.doc) 文件中通过嵌入的宏传播。
1、打开Word文档后,该恶意软件将执行其嵌入的宏,宏启动powershell.exe并将执行托管在GitHub上的powershell脚本添加上去。
2、单行PowerShell脚本从Imgur下载一个PNG文件。在此图像中,下载的图像像素值由PowerShell脚本用于计算下一阶段的有效负载。
3、该恶意软件可以在PNG文件的像素范围内对PowerShell脚本进行编码,并使用一行命令执行有效载荷,从而将一个有效载荷隐藏在图像中。
4、这段恶意的载荷使用WinINet模块与C2服务器通信以获取进一步的指令。但是,C2服务器将不可访问。
新闻来源:
https://cyware.com/news/new-malware-strain-abuses-github-and-imgur-e29bc6f6
专家点评
#内存安全权威专家Linxer
使用 GitHub 和 Imgur 等合法服务可以让攻击者降低暴露的风险。建议企业谨慎防范此类攻击,向员工提供识别网络钓鱼电子邮件的培训,在不需要时禁用宏,使用可靠的防病毒软件,并经常更新所有软件和修补程序;如不能禁用宏,也可使用安芯神甲内存安全产品防护利用宏的恶意攻击,防御利用宏的一些无文件攻击。