使用GitHub API创建GitHub库;
配置创建的库的权限 。
此外,攻击者还使用基于MD5哈希值的随机名来对库进行命名 。
图 9. 对库进行随机命名的命令
GitHub库创建完成后,攻击者调用一个bash脚本来用目标工作流来更新库 。工作流是用PHP脚本生成的, PHP模板编码的工作流示例如图10所示:
文章插图
图 10. PHP模板
研究人员发现其中的一个工作流中有64个任务 。生成的工作流配置为github.event.client_payload.App事件下的repository_dispatch运行 。工作流机制允许攻击者执行外部应用 。在本例,攻击者运行外部bash脚本和容器,如图11所示:
文章插图
图 11. 执行外部应用的工作流机制
工作流运行的bash脚本是从外部域名访问的 。攻击者运行的容器是用来安装和初始化加密货币挖矿功能的,如图12所示:
文章插图
图 12. 加密货币挖矿容器
生成的工作流运行64个任务,每个任务都从5个可用的唯一配置中随机选择一个 。
经过确认的攻击者创建的GitHub账户数如下图所示 。
文章插图
图 13. PurpleUrchin攻击者创建的GitHub账户数
此外,攻击者还在Heroku、Togglebox、GitHub等不同云平台服务商创建了超过13万用户账户 。
参考及来源:https://unit42.paloalt.NETworks.com/purpleurchin-steals-cloud-resources/
推荐阅读
- 【技术原创】渗透技巧——通过WSUS进行横向移动
- 如何提高自制力(如何提高专注力)
- 如何提升芝麻信用分(芝麻信用综合评估未通过)
- 美国国会|美国国会通过《2022年芯片和科学法》
- 如何快速删除朋友圈(如何一次清空朋友圈)
- 如何增肌(怎么能快速增肌)
- 月亮姐姐|月亮姐姐:坐在豪宅分享育儿经,首次带5岁儿子通过央视新闻出镜
- win10如何更新(如何更新正版win10)
- ipad如何升级系统(ipad如何通过itunes升级系统)
- 现在什么网贷好通过(请问什么网贷好贷款)