黑客组织Winnt被指控i滥用GitHub进行针对性攻击

来自网络安全解决方案团队(Cyber Safety Solutions Team)的分析结果

通常来说开发者在发布新版本的应用或维护创建的项目时需要经常修改源代码。为满足此方面需求，GitHub 作为一个提供版本控制管理的在线存储库托管服务应运而生。在许多方面，它就像一个程序员和开发人员的专属社交网站，为代码管理、共享、协作和集成提供了一个宝贵的平台。

尽管如此，GitHub 被滥用的现象也屡屡发生。例如，据称以学习为目的创建的开源勒索软件项目 EDA2 和 Hidden Tear 就曾在 GitHub 上进行托管并由此滋生了指向企业的各种分支。此外，物联网(IoT)设备漏洞利用工具在 GitHub 上也有提供。即使是用于针对性攻击的无限键盘记录器( Limiless Keylogger )也与 GitHub 项目相关联。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

最近，具有传统网络犯罪(尤其是金融诈骗)背景的中国黑客组织 Winnti 集团被指控将 GitHub 滥用为疑似其新后门(被 Trend Micro 检测为 MBKDR64_WINNTI.ONM )的命令与控制( C C )通信传输渠道。研究还表明，该组织目前仍在使用一些臭名昭著的 PlugX 恶意软件变种( Winnti 兵器库主要内容)通过特定的 GitHub 帐户进行有针对性的攻击操作。

恶意软件分析安全团队分析的恶意软件分为两个文件：loader 和 payload。

loadperf.dll 是与其有着相似名称的合法对应文件的修改版本。作为 Microsoft 文件，它有助于操纵性能注册表。目前，已在原有分区上新添加了一个额外组件。该文件自复制在 WINDIR%system32wbem 上并替换原始 DLL，利用 Windows 收集与系统性能相关信息的合法文件——WMI 性能适配器服务(wmiAPSrv)，通过 services.exe 导入loader。该系统还导入所有相关 DLL 文件并将payload loadoerf.ini 包括在内。感染链包括从 loadoerf.ini 导入的附加功能 gzwrite64(虽然为空)。gzwrite64 被用作 payload 入口点的虚假应用程序接口(API)。尽管 gzwrite64 由 loadperf.dll 导入，payload 主要功能实际上位于 loadoerf.ini 的 DLLMain 中。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图 1：添加至原 loadperf.dll 文件的附加分区 .idata

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图 2： 导入的附加功能 gzwrite64

payload 是一个名为 loadoerf.ini 的文件，具有解密、运行和代码注入功能。DLLMain 被系统加载时通过 CryptUnprotectData 解密 payload。由于该功能高度依赖于实际“设备 ID ”，无法通过非原始受感染主机解密，增加了恶意软件分析难度。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图 3：payload 中使用的解密功能

解密之后，在设备上运行的部分代码随即被注入到 svchost.exe(一个关键的 Windows 组件);payload 被加载到内存。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图 4：loadoerf.ini 执行/感染流程

说到这里，GitHub 到底如何被滥用呢?感染成功后，恶意软件开始通过存储在 GitHub 项目中的库与 HTML 页面展开通信。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图5：托管 C C 通信 HTML 页面的 GitHub 账号

看到上述图像，任何恶意软件威胁分析师都会立即将第3行代码识别为潜在的 PlugX 加密特征。开始标记 DZKS 与结束标记 DZJS 在 PlugX 中极具代表性。然而，仔细观察后发现解密算法不同于 PlugX。在此例中，解密过程会为实际的命令与控制(C C)服务器提供引用：恶意软件将连接到的 IP 地址与端口号。

Winnti 目前通过使用不同的加密算法将这些 C C 信息存储在 Github 文件中。其中之一就是 PlugX 使用的算法。事实上，我们已从分析的 C C 字符串中发现了 PlugX 引用，表明该组织也可能在这次特定活动中使用相同后门。虽然我们无法通过那个特定的 GitHub 账号查找到 PlugX 样本，但可以由此推测出一些 PlugX 变种如何在复杂大环境下通过该 GitHub 库获取 C C 信息。

本次 GitHub 活动中使用的所有其他算法几乎全部派生自原始的 PlugX 算法：

○ PlugX 类型 +移位字符串 + Base64

○ PlugX 类型 +移位字符串+ Base64 + XOR

○ PlugX 类型 + Base64 + XOR

其中一种算法还内置了标记字符串+ 移位字符串 + Base64编码。

Winnti 寻踪网络犯罪分子使用的 GitHub 帐号创建于 2016 年 5 月。他们还曾于 2016 年 6 月通过该账号创建了一个源自另一个 GitHub 通用页面的合法项目/存储库(手机项目)。

Winnti 的 C C 通信库创建于 2016 年 8 月。我们推测该 GitHub 帐户未被入侵、确由 Winnti 创建。截至 2017 年 3 月，该库已经包含了创建于不同时间的 14 个不同的 HTML 页面。

活动时间线我们通过分析 GitHub 中暴露的日期映射 Winnti 开展的活动。对于每个文件，GitHub 存储首次与末次提交时间戳;这使我们能够创建该组织多台 C C 服务器首次使用时间表。

我们对 IP 地址连接至 Winnti C C 服务器的时间段进行监控，了解到具体行动从下午开始持续至深夜。此份时间表的特征与网络犯罪分子的传统工作时间相似，此类群体都有着较为简单的组织架构、偏好较晚时间开始工作直至深夜。实际上，我们仅观察了在周末开展的一次活动实例(在此期间创建了一个新的 HTML 文件)。

我们追踪到关于此 GitHub 账户的最早活动时间是 2016 年 8 月 17 日，最近一次发生在 2017 年 3 月 12 日。以下是根据监控记录整理出的 C C 服务器 IP 地址首次使用时间线：

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图6：C C服务器IP地址时间线

C C服务器Winnti 使用的 GitHub 帐号显示了使用各种端口号的 12 个不同的 IP 地址。发送至这些 C C 服务器的所有通信都经由三个不同的端口号：53(DNS)、80(HTTP)和 443(HTTPS)。这些均是 PlugX 和 Winnti 恶意软件变种在被入侵设备与 C C 服务器之间进行通信时采用的典型技术。几乎所有 C C 服务器都在美国托管，其中两台位于日本。

黑客组织Winnt被指控i滥用GitHub进行针对性攻击-E安全

图 7：用于 C C 通信的 IP 地址以及相应端口号

我们在此篇文章文发布前向 GitHub 私下透露了本次发现，目前正积极与他们展开合作，共同应对该威胁。

结论滥用 GitHub 等备受欢迎的平台使 Winnti 等威胁行动者得以在雷达覆盖区域内实现被入侵计算机与服务器之间的网络连通。尽管 Winnti 可能仍在使用传统的恶意软件，通过相对独特的策略在威胁活动曲线上保持领先地位的能力反映出他们在具体行动中采用了更加高深的技术。

被检测为 BKDR64_WINNTI.ONM 的相关哈希值(SHA256)：

○ 06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba — cryptbase.dll

○ 1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d – loadperf.dll

○ 7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b – loadoerf.ini

○ 9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb — wbemcomn.ini

○ b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 — cryptbase.ini

○ e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 — wbemcomn.dll

本文转自d1net（转载）

Github账号遭大规模暴力破解攻击 知名源代码仓库Github日前遭到大规模暴力破解密码的攻击，一些帐号被成功攻破。 “我们向受影响的用户发送了邮件，通知他们需要采取的措施。” “他们的密码被重置，个人访问令牌、OAuth授权和SSH密钥都已经被取消。”
GitHub告警：恶意软件正通过流行开源 IDE 攻击 Java 项目 itHub 安全博客发布了一则通知，警告用户目前正有一种新的恶意软件在攻击 Java 项目。据了解，这是一个针对 Apache NetBeans IDE 项目的开源供应链攻击，GitHub 安全团队将其称为 Octopus Scanner。
github开源学习项目推荐 洛雪音乐助手是一款完全开源免费的音乐软件，在 github 上已经收获了将近 2w stars 完全开源免费 界面美观，主题多 支持多平台歌单导入 支持自定义音源，享受超高音质 支持多平台数据源，聚合搜索，数据齐全 支持 windows，mac，linux ，android 平台
逛了五年GitHub，终于整理出七大java开源技术项目文档，赶紧收藏 大家都知道 Github 是一个程序员福地，这里有各种厉害的开源框架、软件或者教程。这些东西对于我们学习和进步有着莫大的进步，所以将 Github 上非常棒的七大Java开源项目技术文档整理下来供大家学习！！！
github项目的开发创建仓库、分支管理、分支策略、标签管理 作用：假设你准备开发一个新功能，但需要两周才能完成，第一周写了60%，如果提交，由于代码还没写完，不完整的代码库会导致别人不能干活,如果等代码全部写完在一次提交，又会存在丢失每天进度的风险。有了分支，可以避免上述问题，创建一个属于自己的分支，别人看不到，还继续在原来的分支上正常工作，而我们在自己的分支上干活，想提交就提交，直到开发完毕后，在一次性合并到原来的分支上，这样，即安全又不影响别人工作。