Статья Опасен ли Github? Обзор самых громких случаев, когда Github используется для распространения вредоносного ПО

Опасен ли Github? Обзор самых громких случаев, когда Github используется для распространения вредоносного ПО​

Киберпреступность. У каждого свои ассоциации с этим словом, кто-то вспомнит свои школьные годы, когда через CMD устраивал кошмар школьному серверу, кто-то припомнит себя в роли жертвы. Возможно, обставили какие-то умелые дельцы и даже не раз. А кому-то и вовсе вспомнится кинематограф — чего стоит тот самый Сноуден?

К чему все это? А к тому, что в сети накопилось тонны материалов аля “как же навредить другому” и ещё больше “как же умело набить карман, ничего не делая”. Тему инфоциган мы здесь поднимать не будем, это уже отдельный вид “искусства”, но не имеющий ничего общего с тематикой информационной безопасности. А вот публичные репозитории, содержащие в себе потенциально опасный и вредоносный файл под эгидой “Мы снимаем всякую ответственность с себя” — тема наша.

Сегодня мы поговорим о нескольких громких случаях, в которых вредоносы из Гитхаб стали нехилой такой угрозой, заодно проведем их кратенький анализ, выясним функционал и рассмотрим модификации от злоумышленников. Это дань памяти старой рубрике, я даже не помню уже как она называлась, как и этот дисклеймер:

Дисклеймер ​

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

1. RisePro: типичный стиллер и ничего более
2. BlackCap-Grabber и более 10.000 зараженных репозиториев
3. Stealerum и P2P infect - выходцы из Гитхаб, как вредоносы с открытым исходным кодом превратились в реальную угрозу

Github и вирусы ​

Может не все вовсе сведуют, что такое Github, все таки нас тут и дети читают, и начинающие, поэтому вот:

GitHub — это веб-платформа для хостинга проектов программного обеспечения с использованием системы контроля версий Git. Это позволяет разработчикам совместно работать над проектами, отслеживать изменения в коде, вносить исправления и многое другое.

Простым языком — это сайтик, на котором лежат всякие интересные проекты: от PoC эксплоитов до реальных вредоносов, также там много полезной всячины. Но кому они нужна? Когда есть ВИРУСЫ!

Так вот, начинаем мы с актуального — стиллер и троян RaisePro распространялся через Github репозитории на протяжении 5-7 месяцев, начиная с конца 2023 года.

Количество пострадавших точно неизвестно, но некоторые репозитории имели достаточно большую популярность. Вся кампания была представлена одинаковым шаблоном:

• злоумышленник создает репозиторий с крякнутой версией популярного программного обеспечения(Adobe CS, FabFilter и прочие). Кряки это прямо таки очень актуальная тема для СНГ. У нас много халявщиков.
• Каждый из репозиториев имеет одинаковое оформление и хорошо оформленный Readme.md, но сам вредонос не помещается на GitHub.
• Ссылка в конце описания, которая ведет на какой-то популярный файлообменник.

Выглядит это примерно вот так и это можно назвать самой безобидной версией, ведь сам вредонос никто не выгружает на Гитхаб, но это не отменяет того факта, что злоумышленники пользуются высоким репутационным фактором ресурса для распространения вредоносов. Более простым языком — Гитхабу верят.

Подобную ситуацию мы уже наблюдали с PyPi и NPM, вроде даже в одной из статей я упоминал об этом.

RisePro — краткий статистический обзор​

Здесь мы сделаем лишь краткий осмотр, без подробных объяснений, если кому-то нужен полноценный глубокий анализ — отпишите в комментариях, сделаю.

Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:

1. DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
2. PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
3. Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
4. IDA PRO — инструмент для реверс-инжиниринга.
5. Reko — декомпилятор, который в 90% случаев бесполезный.
6. HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).

Чем уникален RisePro? Ничем, это абсолютно типичный стиллер, который и не плохой и не хороший. В году 2022 он распространялся через такой же посредственный дроппер — PrivateLoader.

RisePro инструмент предназначен для кражи данных из различных веб-браузеров, для захвата учетных данных, файлов cookie, информации о кредитных картах и криптокошельков. Также он имеет функцию захвата файлов с устройства жертвы. Для снижения риска обнаружения, RisePro маскирует свою конфигурацию, такую как строки или использованные библиотеки DLL, с помощью инструкций XOR с применением различных ключей, что не является уже чем-то новым.

Сам по себе, он является исполняемым PE32 файлом, написанным на C++, имеет вес в 20 мегабайт и пытается маскироваться в соответствии с методом распространения. Наш образец был скомпилирован в каком-то средневековье, естественно эта информация фиктивна.

Воспользовавшись IDA, определяем алгоритм работы вредоноса:

1. Закрепление в системе жертвы, сбор информации
2. Непосредственно кража данных.
3. Связь с командным сервером и передача наворованного.
4. Режим ожидания дальнейших команд.

Закрепление в системе жертвы, сбор информации​

Реализовано все это дело очень просто, вредонос делает слепки следующих веток реестра Windows:

1. SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
2. SOFTWARE\Microsoft\Windows NT\CurrentVersion
3. HARDWARE\DESCRIPTION\System\CentralProcessor\0
4. SOFTWARE\Microsoft\Cryptography

И сохраняет их в отдельный файл, который после будет передан на С&C сервер, IP адрес устройства определяется достаточно просто - запросом на maxmind.com, это сервис геолокализации IP-адресов.

Непосредственно кража данных​

Реализовано все также, как и в RedLine Stealer, просто запрос к файлу — копирование его, затем добавление в архив — отправка.

В зоне риска:

Веб-браузеры: Opera, Brave, CryptoTab, Яндекс, IceDragon, BlackHaw, Pale Moon, Atom, Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo.

Расширения браузера: кошелек Maiar DeFi, кошелек XDEFI, ForboleX, Bolt X, PaliWallet, PaliWallet, Фантом, TronLink, BinanceChainWallet, Yoroi, NiftyWallet, MathWallet, Coinbase, Guarda, EQUALWallet, LiqualityWallet, RoninWallet, NeoLine, CloverWallet, Wombat, MewCx, GuildWallet, SaturnWallet, BitAppWallet, iWallet, Jaxx Liberty Extension, MetaMask, Authenticator.

Программное обеспечение: Authy Desktop, Battle.net, Discord.

Криптовалютные активы: Лайткоин, Реддкоин, Биткойн, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin.

BlackCap-Grabber и более 10.000 зараженных репозиториев​

И мы плавно переходим к разделу из-за которого эта статья и появилась. Потому что здесь целое комбо. Во-первых, вредоносный код находится непосредственно на Гитхаб. Во-вторых, зараженных репозиториев огромное количество. А в-третьих, конечным вредоносом в этой цепочке являлся стиллер, исходный код которого, ранее был опубликован на Гитхабе.

Да-да-да, именно под этой лживой плашечкой дисклеймера, ответственность снимаю с себя полностью. Прекрасно. Давайте разбираться.

Итак, самое важное здесь это то, что злоумышленников много и они использовали копии популярных ранее репозиториев: они берут какого-то бота, который имеет солидный рейтинг, множество положительных отзывов, дублируют его с пометкой V2 и так далее.

Затем в дело вступает целая ботоферма аккаунтов Гитхаб, которые продвигают зараженный репо в массы, создавая ему репутацию и иллюзию того, что все с ним окей.

Разберем все это на примере ныне существующего репозитория бота Whatsapp(надеюсь им никто не пользуется уже). На первый взгляд, все прекрасно, чистый бот с хорошими отзывами и репутацией, но стоит проскролить вправо, как видим это:

И если человек запустит это у себя на машине, то следующий результат не заставит себя долго ждать:

Продолжение следует.

Краткие выводы к первой части ​

Итак, следующая часть будет очень очень интересной, потому что есть на что смотреть, есть кого выслеживать и есть кого разоблачать. Пока что скажу лишь, что вот эта сия напасть имеет корни из СНГ.

Самое печальное, что таких репозиториев, даже сейчас, на Гитхаб насколько много, что вообще страшно пользоваться этим ресурсом. Обнаружить такую штуку можно достаточно легко, банальным просмотром исходного кода. Ведь оказалось, что BlackCap-Grabber это самое безобидное распространяемое таким образом вредоносное ПО.

А на этом у меня на сегодня всё. Не теряйте. Ваш Deathday.