腾讯洋葱反入侵系统检测到rinetd开源软件的官方网站遭受高仿钓鱼攻击,提供带后门的源码下载。攻击者通过更新检查函数执行系统命令,实现远程控制。此事件涉及的后门程序与Linux/XOR.DDoS家族相关,具备信息收集和DDoS攻击能力。建议用户避免访问可疑站点并检查系统。
文|柯南、xti9er、harold
事件概述
近日,腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件,并已与官方作者取得联系。事实上该开源软件目前仅在github发布,目前正在尝试推动该站点下线。由于该问题在互联网广泛传播,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议禁止访问该网站,并根据附件IOC尽快自查感染情况,保障用户安全。
事件分析
2019年12月26日,某组织注册的http://www.rinetd.com/域名上线,以rinetd工具的'官方'站点的身份,对外提供附带后门的rinetd源码压缩包下载。
这份源码在原作者在Github上的代码基础上增加了一个检查更新函数-check_update,该函数可用于定期向c2发起更新请求,并根据c2的返回来执行系统命令。
check_update函数如下:
后门权限维持:
</
最低0.47元/天 解锁文章
1487
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
