黑客借Python包库盗取企业网络访问权

描述

  近日,黑客假冒Python软件包索引(PyPI)知名“requests”库发布新版,使用Sliver C2跨平台植入框架攻击MacOS设备,意图获取企业网络权限。

  此种攻击方式,据安全专家Phylum分析,由多步及混淆层组成,其中包括利用PNG图像文件中隐藏技术在目标机上部署Sliver框架。

  了解到,Sliver为一款跨平台(Windows、macOS、Linux)开源对抗框架测试套件,专为“红队”行动设计,模拟敌方行为测试网络防御能力。其主要功能包括定制化植入生成、命令与控制(C2)功能、后开发工具/脚本及丰富的攻击模拟选项。

  Phylum最初发现名为“requests-darwin-lite”的恶意Python MacOS软件包,该软件包为流行的“requests”库的良性分支,托管于PyPI。

  该软件包包含一个17MB的PNG图像文件,其中包含Sliver的二进制文件及Requests标志。在MacOS系统安装过程中,PyInstall类将执行解码base64编码字符串的命令(ioreg),获取系统UUID。

  若匹配成功,则读取PNG文件内的Go二进制文件,并从特定位置提取。Sliver二进制文件被写入本地文件,修改文件权限使其可执行,最后在后台运行。

  在Phylum向PyPI团队报告请求后,官方已删除该软件包。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分