加载中 ...
首页 > 新闻资讯 > 区块链 正文

剪贴板

2019-08-12 19:42:34 来源:沈阳小程序开发 作者:沈阳软件开发

随着网络安全防护技术的提高,攻击者越来越难以使用原始攻击技术取得成功。为此,黑客也在考虑提高攻击成功率的方法,例如,通过利用用户对软件供应商的信任。

通常,用户不会怀疑受信任的开发人员或供应商在安装软件或更新时会发起攻击。用户普遍认为,只要软件供应商值得信赖,他们的产品就必须没有安全问题。攻击者利用这种心理,发动了所谓的“供应链攻击”。安装软件或更新版本时,用户应仔细检查源代码站点以确保其合法。只有这样才能在我们的计算机上安全地运行代码。随着开发人员对软件和网页越来越具有保护作用,在过去几年中,黑客越来越多地利用这种供应链信任来传播恶意的软件。

在不到一周的时间内(10周的第二周),研究人员发现了两个使用供应链进行攻击的新事件。

第一个涉及VestaCP,一个控制面板界面,系统管理员用它来管理服务器。 Censys执行的互联网扫描显示,目前有超过132,000个未过期的TLS证书可以保护VestaCP用户。根据安全公司Eset周四发布的一篇文章,一名未知的攻击者破坏了VestaCP服务器,并使用他们的访问权限对可下载的安装程序进行恶意更改。

注意:Censys是一个新的搜索引擎,用于搜索有关已连接设备的信息。安全专家可以使用它来评估其实施的安全性,黑客可以将其用作检测目标和收集目标信息的强大工具。

  供应链攻击过程

  Eset恶意软件研究员Marc-ÉtienneM.Léveillé告诉本文的作者:

在攻击者修改VestaCP安装脚本后,生成的管理员凭据可以在安装成功后报告给vestacp.com。我们不确切知道这种情况何时发生,但修改后的安装脚本已于5月31日至6月13日在GitHub的源代码管理中出现。

目前,这种攻击仍在进一步研究中。在调查完成之前,仍不清楚袭击是如何发生的。根据Léveillé的初步调查结果,黑客最有可能首先利用VestaCP软件或用于传播它的服务器中的一个关键漏洞,这允许攻击者自己控制攻击。也就是说,在此期间,攻击者将密码嗅探功能添加到安装源代码中。此时,VestaCP软件已包含从用户服务器向vestacp.com网站发送统计信息的代码。

Léveillé认为,恶意代码只会添加难以解密的代码行,并导致密码被包含在内。然后,攻击者使用他们对VestaCP网络的控制来检索被盗密码。研究人员表示,尽管这种方法更复杂,但安全检测方案更难以检测源代码中的恶意代码。在这方面,Leveille说攻击者可以使用密码通过其安全shell界面登录服务器。

使用SSH,攻击者可以使用ChachaDDoS感染服务器。 ChachaDDoS是一种相对较新的恶意软件,用于针对其他网站的拒绝服务攻击。此恶意软件提供了各种高级功能,包括防止管理员在服务器上查找和分析它的方法。 Chacha运行在32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC上。 23日,安全公司Sophos研究人员宣布了一个新发现的DDoS僵尸网络,他们称之为Chalubo,几乎可以肯定,它运行Echa描述了Chacha Mali 软件。

对VestaCP供应链的攻击至少为14天(截至10月24日),因为源代码中的录制时间为14天。一篇类似的帖子显示,VestaCP用户报告说该服务器早在4月就已被黑客攻击,这是Eset在5月31日列出的将近两个月。这样的讨论表明,在6月13日从源代码中删除了恶意修改的代码之后,影响VestaCP用户的攻击仍在继续。

  利用ClipboardHijacking软件潜入PyPI

第二个供应链攻击涉及恶意的软件程序包,该程序包已插入广泛使用的Python编程语言的官方存储库中。名为“Colourama”的软件程序包看起来类似于Colorama,它是Python存储库中20个下载量最多的模块之一。 doppelgängerColourama软件软件包包含法律模块的大部分合法功能,但与Colorama有显着区别:Colourama添加的代码在Windows服务器上运行时会安装此Visual Basic脚本。它不断监视服务器的剪贴板,以获得用户将为加密货币付费的线索。当触发恶意脚本时,脚本将支付信息从剪贴板中包含的钱包地址传输到攻击者拥有的钱包。

这不是Python的官方PyPI存储库第一次被滥用来执行此类社交工程攻击。 2016年,本科论文使用相同的技术,允许未经授权的Python模块在17,000多个独立域中执行超过45,000次,其中一些域属于美国政府和军事组织。一年后,PyPI再次受到包含恶意(但相对良性)代码的代码包的攻击。

在过去六个月中,隐藏在PyPI中的ClipboardHijacking软件已被下载171次(不包括镜像站点),其中55个在9月份。受感染的服务器不仅必须删除恶意Colourama模块,还必须进行注册表更改以清除Visual Basic脚本。提示:沈阳汇海科技有限公司汇集了业界众多网络精英和顶级设计师及程序员,以WEB交互应用,移动互联网应用和商用软件为战略方向。凭借成熟的技术,创新的理念和不断开拓的精神,我们为各行各业的客户提供服务。

“沈阳软件公司”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与

我们联系删除或处理,客服QQ:55506560,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同

其观点或证实其内容的真实性。

推荐阅读