文|柯南、xti9er、harold
事件概述
近日,腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件,并已与官方作者取得联系。事实上该开源软件目前仅在github发布,目前正在尝试推动该站点下线。由于该问题在互联网广泛传播,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议禁止访问该网站,并根据附件IOC尽快自查感染情况,保障用户安全。
事件分析
2019年12月26日,某组织注册的http://www.rinetd.com/域名上线,以rinetd工具的'官方'站点的身份,对外提供附带后门的rinetd源码压缩包下载。
这份源码在原作者在Github上的代码基础上增加了一个检查更新函数-check_update,该函数可用于定期向c2发起更新请求,并根据c2的返回来执行系统命令。
check_update函数如下:
后门权限维持:
</