GitHub投毒免杀工具攻击活动技术分析报告

一、攻击活动概述

近期发现黑客组织通过GitHub投毒方式传播恶意免杀工具，主要攻击手法为：

修改开源免杀工具，植入恶意代码
上传带有后门的"免杀工具"到GitHub
诱导用户下载执行，安装后门木马或挖矿程序

二、攻击样本分析

1. Origami-Crypter-Packer-Bypassing-WD与FUD-Crypter-Windows-Defender样本

1.1 样本组成

Origami.exe
Runtime.dll

1.2 恶意行为分析

初始感染阶段：
- 两个程序在入口点代码处添加了恶意代码
- 连接远程URL tinyurl[.]com/win-nt 下载恶意脚本
持久化阶段：
- 在%temp%目录生成隐藏文件DriverDiagnosis.dll
- 通过REGSVR32程序调用该恶意模块
载荷下载：
- 恶意模块从远程服务器下载执行恶意脚本
- 脚本执行AMSI绕过操作(Patch AmsiScanBuffer函数)
最终载荷：
- 执行混淆处理的.NET程序(编译时间：2024年5月15日)
- 确认是XWorm RAT远控木马(V5.2版本)
- C2通信通过pastebin.com存储，实际C2地址：localbeheaders.mcgo.io[:]4411

2. Scantime-Crypter-Updated---WD-Bypass样本

2.1 样本组成

scantime crypter.exe(.NET程序，编译时间：2024年5月9日)

2.2 恶意行为分析

触发机制：
- 在"加密按钮"事件中植入恶意代码
- 用户点击"Crypt it"按钮时触发
初始感染：
- 从hxxps://t[.]ly/B0L6y下载恶意脚本
- 在临时目录生成隐藏文件OneDriveFileSync.dll
- 设置为系统自启动项实现持久化

AMSI绕过：

执行命令关闭AMSI：

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPubilc,Static').SetValue($null,$true)

ShellCode执行：
- 通过VirtualAlloc分配内存空间
- 解密并执行ShellCode
- 绕过Amsi和WLDP机制
最终载荷：
- 编译时间：2024年5月4日
- 调用powercfg.exe设置系统电源
- 注入恶意代码到svchost进程
- 载荷为UPX加壳的挖矿程序
挖矿配置：
- 矿池地址：randomxmonero.auto.nicehash.com
- 钱包地址：36u5w8pHbiKPB18NAz8GEgjx9kXBUxs5YC.{RANDOM}
- 释放WinRing0驱动程序
- 远程配置：http://webpanel[.]elementfx.com/remote/prohashingv1.json

三、攻击技术细节

1. GitHub投毒手法

加入开源项目(攻击者于2024年5月7日加入项目)
上传带有后门的"工具"：
- 保持原工具功能不变
- 在关键位置植入恶意代码

2. 免杀技术

代码混淆：
- .NET程序使用高级混淆技术
- 动态调试才能还原真实逻辑
AMSI绕过：
- 内存Patch AmsiScanBuffer
- 反射修改AMSI初始化标志
进程注入：
- 选择svchost等可信进程注入
- 使用合法程序(如powercfg.exe)作为载体

3. 持久化技术

注册表自启动项
系统隐藏属性文件
DLL劫持技术

4. C2通信

使用短链接服务(tinyurl, t.ly)
通过Pastebin存储实际C2地址
多层跳转隐藏真实服务器

四、防御建议

1. 用户防护

不要随意下载执行GitHub上的"安全工具"
验证工具的数字签名和哈希值
使用虚拟机或沙箱环境测试可疑工具

2. 企业防护

启用AMSI和WLDP防护
监控异常网络连接(特别是到短链接服务的连接)
限制PowerShell脚本执行权限
监控异常进程注入行为

3. 技术检测

检测特征：
- 文件：DriverDiagnosis.dll, OneDriveFileSync.dll
- URL：tinyurl[.]com/win-nt, t[.]ly/B0L6y
- C2：localbeheaders.mcgo.io[:]4411
- 矿池：randomxmonero.auto.nicehash.com
行为检测：
- AMSI内存Patch行为
- 可疑的进程注入
- 异常的电源设置修改

五、总结

本次攻击活动展示了高级攻击者如何利用：

开源社区信任机制(GitHub投毒)
免杀技术绕过安全防护
多层混淆隐藏恶意行为
多种恶意软件组合攻击(RAT+挖矿)

安全团队需要持续关注此类攻击手法，更新防御策略，特别是针对开源软件供应链的攻击防护。

GitHub投毒免杀工具攻击活动技术分析报告一、攻击活动概述近期发现黑客组织通过GitHub投毒方式传播恶意免杀工具，主要攻击手法为：修改开源免杀工具，植入恶意代码上传带有后门的"免杀工具"到GitHub 诱导用户下载执行，安装后门木马或挖矿程序二、攻击样本分析 1. Origami-Crypter-Packer-Bypassing-WD与FUD-Crypter-Windows-Defender样本 1.1 样本组成 Origami.exe Runtime.dll 1.2 恶意行为分析初始感染阶段：两个程序在入口点代码处添加了恶意代码连接远程URL tinyurl[.]com/win-nt 下载恶意脚本持久化阶段：在 %temp% 目录生成隐藏文件 DriverDiagnosis.dll 通过 REGSVR32 程序调用该恶意模块载荷下载：恶意模块从远程服务器下载执行恶意脚本脚本执行AMSI绕过操作(Patch AmsiScanBuffer 函数) 最终载荷：执行混淆处理的.NET程序(编译时间：2024年5月15日) 确认是XWorm RAT远控木马(V5.2版本) C2通信通过 pastebin.com 存储，实际C2地址： localbeheaders.mcgo.io[:]4411 2. Scantime-Crypter-Updated---WD-Bypass样本 2.1 样本组成 scantime crypter.exe(.NET程序，编译时间：2024年5月9日) 2.2 恶意行为分析触发机制：在"加密按钮"事件中植入恶意代码用户点击"Crypt it"按钮时触发初始感染：从 hxxps://t[.]ly/B0L6y 下载恶意脚本在临时目录生成隐藏文件 OneDriveFileSync.dll 设置为系统自启动项实现持久化 AMSI绕过：执行命令关闭AMSI： ShellCode执行：通过 VirtualAlloc 分配内存空间解密并执行ShellCode 绕过Amsi和WLDP机制最终载荷：编译时间：2024年5月4日调用 powercfg.exe 设置系统电源注入恶意代码到 svchost 进程载荷为UPX加壳的挖矿程序挖矿配置：矿池地址： randomxmonero.auto.nicehash.com 钱包地址： 36u5w8pHbiKPB18NAz8GEgjx9kXBUxs5YC.{RANDOM} 释放WinRing0驱动程序远程配置： http://webpanel[.]elementfx.com/remote/prohashingv1.json 三、攻击技术细节 1. GitHub投毒手法加入开源项目(攻击者于2024年5月7日加入项目) 上传带有后门的"工具"：保持原工具功能不变在关键位置植入恶意代码 2. 免杀技术代码混淆： .NET程序使用高级混淆技术动态调试才能还原真实逻辑 AMSI绕过：内存Patch AmsiScanBuffer 反射修改AMSI初始化标志进程注入：选择 svchost 等可信进程注入使用合法程序(如 powercfg.exe )作为载体 3. 持久化技术注册表自启动项系统隐藏属性文件 DLL劫持技术 4. C2通信使用短链接服务(tinyurl, t.ly) 通过Pastebin存储实际C2地址多层跳转隐藏真实服务器四、防御建议 1. 用户防护不要随意下载执行GitHub上的"安全工具" 验证工具的数字签名和哈希值使用虚拟机或沙箱环境测试可疑工具 2. 企业防护启用AMSI和WLDP防护监控异常网络连接(特别是到短链接服务的连接) 限制PowerShell脚本执行权限监控异常进程注入行为 3. 技术检测检测特征：文件： DriverDiagnosis.dll , OneDriveFileSync.dll URL： tinyurl[.]com/win-nt , t[.]ly/B0L6y C2： localbeheaders.mcgo.io[:]4411 矿池： randomxmonero.auto.nicehash.com 行为检测： AMSI内存Patch行为可疑的进程注入异常的电源设置修改五、总结本次攻击活动展示了高级攻击者如何利用：开源社区信任机制(GitHub投毒) 免杀技术绕过安全防护多层混淆隐藏恶意行为多种恶意软件组合攻击(RAT+挖矿) 安全团队需要持续关注此类攻击手法，更新防御策略，特别是针对开源软件供应链的攻击防护。