Исследователи безопасности из команды "dfir it" выявили (https://dfir.it/blog/2019/02/26/the-supreme-backdoor-factory/) на GitHub цепочку учётных записей, предлагающих подложные репозитории с кодом и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 74 репозитория (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub.
В ходе классификации вредоносных вставок был выделен
41 вариант (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) бэкдоров, созданных на основе нескольких типовых реализаций для получения удалённого контроля за системой. В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта. Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, изменённые с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS.
Интересно, что список учётных записей с вредоносным кодом был определён путём анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звёздочки" на GitHub (списки Watch и Star) было выделено 89 типовых (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) учётных записей, созданных примерно в одно время и распространявших код с бэкдорами. Например, в 9 репозиториях пользователя adunkins (https://web.archive.org/web/20190221210742/https://github.co...) (Andrew Dunkins) было найдено 305 исполняемый файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT и MinGW.URL: https://dfir.it/blog/2019/02/26/the-supreme-backdoor-factory/
Новость: https://www.opennet.me/opennews/art.shtml?num=50247
> изменённые с целью получения контроля за системами пользователейРасскажите, а что у пользователя можно контролировать? Фоточки? Чем интересуются конкретно те, кто внедряет код? Что там такого ценного, чего нельзя найти в соцсетях?
Можно спам рассылать, DDoS-ить, майнить и сниффить локальную сеть на предмет паролей и прочих конфедерциальных данных. Этого достаточно. Кстати, фотки некоторые вредоносы тоже сливают, в надежде, что там будет домашняя порнография или другие поводы для шантажа.
Я так понимаю, корпоротивные сети и компьютеры в данном случае можно полностью исключить, так как администраторы такое врядли пропустят?Ну допустим появился у меня как у рядового пользователя бэкдор или какая-либо другая лазейка. Допустим, украли аккаунты и пароли к ним. Какой я получу материальный ущерб? Скорее никакой, так как в наиболее важных местах установлена двуфакторная аутентификация. Только могу лишится нематериальных каких-то ресурсов? Просто получу вред, потеряю время, какие-то лайки, звездочки и привелегии на аккаунтах форумов, соцсетей. Что получат мошенники?
Из всего перечисленного, серьёзным вредом выделяется майнинг и DDoS. Какие средства есть в Линуксе для борьбы с этим?
ды просто все вордовские файлы зашифруют (в надеждечто нет бэкапа) -- и будут шантажировать на получение пароля.
Да что угодно. От банального спама/ддоса/майнинга и чуть менее банального угона кредиток и подобного (блин, да тот же скан паспора у каждого второго лежит) до более целенаправленных атак на интересных жертв. Те же креденшлы доступа к корпоративным сетям - запросто. Кстати, двухфакторка вида TOTP SMS не факт, что поможет - протроянить смартфон при уже поломанном ПК - задача решаемая. Атака на разработчиков - есть шанс добраться до коммерческих секретов или протроянить софт, который они пишут.Ну а каким манером "корпоротивные сети и компьютеры в данном случае можно полностью исключить" - даже не знаю. Так и запретили скачивать тулзы от linaro с гитхаба, угу. Или EasyModbus тот же. И пошёл троян гулять по клиентским системам...
> Ну а каким манеромНасколько я понял, то внедряется вредоносный код в исходники. Каким образом вредоносный скомпилированный бинарник может взломать сеть, пройти ACL, пробить ядро линукса другой машины/сервера, заменить существующие бинарники, чтобы размножаться... ну не знаю... Если такое возможно, то зачем тогда гитхаб в этом случае?
А если разрешено каждому Васе в корпорации лезть на гитхаб, качать проект, компилировать его на локальной машине.. Зачем тогда админы нужны в корпорации? Я тут даже и не знаю, может я ошибаюсь...
Гитхаб - понятно зачем. 1) чтобы заставить запустить левую софтину - разработчики сейчас дрессированные, смотрят, откуда бинари качают. А тут - может и прокатить, особенно если самосбор. 2) засунуть в либу - вообще золото, если не заметят - разъедется по юзерским машинам вместе с софтиной, которая использует протрояненную либу. А дальше - какие, на фиг, ACL? Это разве что в банках софту разрешат ходить на полтора сайта, обычно же - если есть хоть какие-то сетевые возможности (а сейчас они есть вообще у всего) - то вперёд, получать команды/подгружать пейлоад из интернета. А дальше уж вопрос к пейлоаду что именно он умеет делать - от шелла до шифровальщика.P.S. А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба? Даже не слышал о таких. Лично я бы с такими психами связываться не стал.
> А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба?Если существуют такие разработчики, что не проверяют что и откуда компилят, то "концлагеря" разумное решение в этой "помойке" ))
> Скорее никакой, так как в наиболее важных местах установлена двуфакторная аутентификация.Во-первых, чтобы не "докучать" пользователю каждый раз, оно может быть вот примерно таким (amazon)
> We use cookies to remember your preferences, so you will not be asked to enter a security code upon each sign-in. If you clear your cookies or use a different browser or device, you may be asked again for verificationВо-вторых:
c полным контролем машины можно добавить "правильный" корневой сертификат и "правильный" DNS, подменить номер счета при переводе или просто перенаправить вас на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор".
Аутентификация на два канала тоже взламывалсь еще лет шесть назад -- тот же Eurograbber (вариант Зевса) спер под полсотни миллионов у.е. с портретами мертвых президентов, несмотря на необходимость подтвержения каждой трансакции отсылкой TAN по SMS (т.е. через телефон).Ну и по мелочи – Social Engineering, плюс от вашего имени можно что-то замутить -- звездочки там порасставлять, полайкать для накрутки рейтинга очередной конторы "Рога и Копыта".
Опять же, ваш компютер будет отличным socks-proxy для кардеров и прочих сомнительных личностей (еще лет десять назад за пачку таких проксей на соотв. ресурсах давали $5/20шт/на пару недель-месяц).
> подменить номер счета при переводеТак для этого у банка есть защита - присылает код подтверждения и номер счета куда перевод осуществляется. Может это в каких-то других случаях работает, не знаю.
> на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор"
А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится? Или придётся им полностью функционал банка повторить и направить меня через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?
> Ну и по мелочи – Social Engineering
Ну да, вот это реальнее. Нервы потрепят.
> Так для этого у банка есть защита - присылает код подтверждения и
> номер счета куда перевод осуществляется. Может это в каких-то других случаях работает, не знаю.Присылает теперь. Совсем не от хорошей жизни -- поисковик "banking trojan" в помощь.
Опять же, можно "нарисовать" (подменив на странице локальным скриптом) "нужный" номер кошелька/счета сразу на показываемой странице, тогда номер будет совпадать с присланным.> А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится?
Точно так же, как и вы его расшифровываете, хотя ключ вроде как у банка (если не помните точно, то почитайте, что ли -- понимание принципа работы всегда пригодится).
Только соединение у вас с ними, а у них уже -- с банком. HTTPS спасает от "Васяна посередине", который решил вклинится в ваше соединение с банком. Но если "Васян" целиком контролирует ваш браузер, то …> Или придётся им полностью функционал банка повторить и направить меня
> через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?Это вообще классика фишинга. Тем более, при возможности добавить свой корневой сертификат и атаке посредника, ничего самому рисовать не надо -- только попускать, попутно "фильтруя", через свой прокси ваше соединение с банком.
Ну и кроме банков есть куча других страниц -- интернет-магазины, аукционы и прочее.
Угу, и дай бог, чтобы на сумму посмотрели, а не тупо ввели код, о номере счёта я и не говорю. Кстати, visa 3d secure, например, только сумму и присылает, но не получателя.Подменить всё и вся - да запросто. Вот, например, первое, что попалось: https://xakep.ru/2019/01/10/modlishka/
написано же, бекдор
Бэкдорчиком можно много весёлого делать. Например, заходит юзер на страницу оплаты его любимого корма для котов, нажимает "оплатить", а бэкдорчик читает сумму и фигачит его на страницу оплаты корма для котов автора бэкдора. Далее разборчивый юзер поймёт, что что-то не то, и страница оплаты непривычная, а вот хомяк типовой - так и оплатит автору бэкдора корзинку корма остатками со своей кредитки.
Ну, не сам бэкдорчик, payload, но сути не меняет.
Как-то где-то мелькали новости о том, что у каких-то там крутых погромистов угоняли пароли путем подстановки формы, так что сложно заметить подмену, если ты изначально не ждешь подвоха.
Активность на опеннете мониторить
Как думаешь какой процент пользователей хранит пароли в менеджерах паролей, а какой в обычном текстовом файле? Кроме того каталог профиля firefox можно скопировать между машинами - и он будет запускаться как не бывало со всеми активными куками, и отобразит все сохраненные пароли так как обычно мастер пароль никто не устанавливает.
сборки уже заряжены этим от производителя по регионам Rus Eng Ua Kz, доступ за огромные суммы, ежегодно, ежемесячно, по часам, разные уровни доступа. Сбор данных, гос безопасность. Клиенты; налоговая, страховая, почта росии (хз зачем). Спалился, потерял больше...
О_о
*музыка из Х-files*
Товарищ, вы о чём? Или у вас мания преследования?
Если уж на то пошло - где пруфы или вообще какие-либо обоснования ваших слов?
Держи пруф https://www.opennet.me/opennews/art.shtml?num=50247
Нет, кроме опеннета. Да и пруфы именно не вообще наличия бекдоров сферически в вакууме, а про за зараженность ими официального контента ("любознательность" юзверей - не в счёт). А то пока что это треп и не более.
Всего 73?....
Вам известно больше?
Нужно было чтобы огласили весь список, а не те кто им не заплатил.
Есть вариант что как раз кто заплатил гнобят конкурентов ...
> Есть вариант что как раз кто заплатил гнобят конкурентов ...Крайне интересная теория заговора от скрипт-кидди adunkins.
Всего 73 нашли
> в 9 репозиториях пользователя adunkins (Andrew Dunkins)
> было найдено 305 исполняемых файлов с бэкдорамиВот это скрипт-кидди и спамит тут "даешь свободу".
Всё как и предсказывалось. Напомню: ещё было предсказание о скупке у авторов популярных библиотек их GitHub аккаунтов.
Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими они стали рассадником ПО с бекдорами, куда международные организации смотрят? А ну да, это же микрософт с их баблом...
И что примечательно: до покупки "мелкомягкими" скрипт-киддисы хорошо себя на Гитхабе чувствавали, а тут началось.
> Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими
> они стали рассадником ПО с бекдорами, куда международные организации смотрят? А
> ну да, это же микрософт с их баблом...На каком основании закрывать? Причина «не понравилось русскочелюстному анониму»? Ну так в мире плевать на тебя и твоих тараканов
> "В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub."двое уже возродились:
https://github.com/burhanick
https://github.com/bucka23
Может быть прикрутить антивирус Касперского к GitHub?
>> антивирус КасперскогоА это кгбэшное зачем там? Что бы еще один троян добавить?
Очевидно, потому что аэнбэшное из-за встроенных десятка троянов не справилось.
Ждите разгромных статей "Опенсорс это опасно!!!!1111!" на блумберге и первом анале.