攻击者正在利用Dimnie窃取数据恶意软件攻击GitHub项目的拥有者
安全研究专家发现,自从今年的一月中旬起,就有攻击者开始利用数据窃取型恶意软件Dimnie来攻击GitHub代码库的所有者了,而这种攻击方法相对来说并没有多少人真正了解。
Dimnie恶意软件
Dimnie是一款数据窃取型勒索软件,其恶意代码中包含键盘记录功能以及能够进行屏幕截图的模块。Dimnie恶意软件是由Palo Alto Networks的安全研究专家在今年一月中旬发现的,当时已经有大量的开发人员受到了这款恶意软件的影响。攻击者主要通过钓鱼邮件(邮件内容声称可以给开发人员提供工作机会)来进行恶意软件的传播,邮件中包含有一个经过特殊处理的.doc文件,而这个文件中则嵌入了能够执行PowerShell命令的恶意宏,在成功感染了目标设备之后,攻击者将利用恶意宏中的PowerShell命令下载并执行恶意代码。
实际上,Dimnie早在2014年就已经出现了,当时Dimnie主要针对的还是俄语用户。目前,研究人员还无法确定这款恶意软件的传播范围到底有多大,而且攻击者的主要目的也尚不可知。
根据Palo Alto Networks提供的信息,“Dimnie”这个名字是从恶意PowerShell脚本代码中的主函数名得来的,而且这款恶意软件已经存在了数年之久。实际上,PaloAlto Networks早在2014年初就已经检测到了多个Dimnie样本,并且已经识别出了它的命令以及控制模式。这款恶意软件的主要功能是下载恶意代码,它采用了模块化设计,并且拥有多种信息窃取功能。每一个模块都会被注入到Windows核心进程的内存空间中,这将增加研究人员的分析难度。在此之前,Dimnie也经历过多个版本更迭,而且它所采用的命令以及控制方法隐蔽性极高,再加上之前它主要针对的是俄语用户,因此近些年来很少有安全机构检测到它的存在,但是Palo Alto Networks的研究人员在近期发生的一项恶意活动中再次发现了Dimnie的身影。
安全专家认为,此次攻击背后的始作俑者是一个此前从未出现过的黑客组织,而且他们也并不是俄国的黑客团伙。
技术分析
Dimnie会向远程命令控制服务器发送伪造的HTTP请求,然后将信息嵌入一个GET请求并将其发送给一个已失效的Google服务(Google PageRank)。想要将原始请求发送给一台完全不同的服务器,实现起来也并不难,但是很多分析人员只会单独分析DNS请求,而不会对后续相关的网络流量进行分析,而Dimnie正是利用了这一点来躲避检测。简而言之,攻击者将他们需要发送的数据嵌入在一个伪造的POST请求中,然后表面上会将该请求发送给Google的服务器,而实际上他们是在与自己的C&C服务器通信。这样一来,攻击者不仅能够从目标系统中提取数据,而且还能有效地躲避安全检测。
用来完成数据提取的模块会向Google域名(gmail[.]com)发送伪造的HTTP POST请求,但这些请求在发送给由攻击者控制的远程服务器之前全部都会经过硬编码处理。
恶意软件Dimnie属于无文件(Fileless)恶意软件的范畴,研究人员发现了九个Dimnie模块,其中包括系统数据提取模块、枚举运行进程模块、键盘记录模块、屏幕截图模块以及自毁模块等等。
总结
根据安全研究专家提供的信息,此次攻击活动中的基础设施仍然处于活动状态,因此攻击者目前很可能仍然在使用Dimnie攻击广大用户。
总而言之,Dimnie的长期存在是由多种因素促成的。很多安全防护软件会根据预先制定的策略来判断哪些网络流量是合法的,而Dimnie会对自己的上传和下载流量进行伪装,并让它的网络活动看起来与普通用户的正常活动非常相似。虽然这种策略已经不是什么非常新颖的东西了,但是这仍然是很多安全防护软件目前所存在的短板。
入侵指标(IoC)
钓鱼邮件:b70a17d21ec6552e884f01db47b4e0aa08776a6542883d144b9836d5c9912065
恶意.doc文件: 6b9af3290723f081e090cd29113c8755696dca88f06d072dd75bf5560ca9408e,
Dimnie loader:3f73b09d9cdd100929061d8590ef0bc01b47999f47fa024f57c28dcd660e7c22,
解密后的Dimnie主模块: 6173d2f1d7bdea5f6fe199d39bbefa575230c5a6c52b08925ff4693106518adf
* 参考来源:securityaffairs, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM