研究人员发现了一个流行的开源软件包,它可能隐藏着工业间谍恶意软件。
“SqzrFramework480”是一个.NET动态链接库(DLL),似乎属于中国消费电子和各种工业技术制造商博众精密工业科技有限公司。该文件的规定功能包括管理和创建图形用户界面 (GUI)、初始化和配置机器视觉库、调整机器人运动设置等。它于 24 月 3,000 日上传到 NuGet 开源存储库,截至撰写本文时已经有 XNUMX 次下载。
最终,它可能只不过是它所说的那样。但 ReversingLabs 的研究人员在一份新报告中将 SqzrFramework480 标记为可疑,因为其中隐藏的一种方法似乎会执行相当恶意的操作:捕获屏幕截图、打开套接字以及将数据泄露到隐藏的 IP 地址。
SqzrFramework480是OT后门吗?
中国企业开发的软件已 用于恶意供应链攻击 之前和 对工业系统的网络威胁 那里并不新鲜。
SqzrFramework480 是这些趋势的延续吗?答案就在于它的方法“Init”。
Init 的工作首先是 ping 远程 IP 地址。此 IP 地址存储为字节数组,其中每个字节都是 ASCII 编码字符。
如果 ping 不成功,程序将进入睡眠状态并在 30 秒后重试。如果成功,它将打开一个套接字并连接到该 IP 地址。然后,它获取安装的监视器的屏幕截图,将其打包到字节数组中,并通过套接字发送它。
一方面,研究人员认为,这可能只是一种将图像从 Bozhon 相机流传输到工作站的机制。但某些背景证据使这一理论变得混乱。
一方面,SqzrFramework480 中的名称和类往往具有相当不伦不类的标签;例如,人们无法推断它捕获了屏幕截图。为什么它 ping 的 IP 地址会隐藏为一个字节? “这是一种可疑或不常见的做法,”报告作者 Petar Kirhmajer 指出。 “为什么不直接包含 IP(以明文形式)?”
除了晦涩难懂的 Init 之外,还有一个事实是,该软件包是由一个不起眼的 NuGet 帐户列出的,该帐户之前的唯一列表是“SqzrFramework480.Faker”,这是 SqzrFramework480 的一个模糊版本。
SqzrFramework480 取代了任何确凿的证据,仍然存在并可供下载。
“我的建议是不要盲目相信每一个包裹,”Kirhmajer 说。 “如果可以的话,您应该自己[手动]审核它们。如果您没有资源自己执行此操作,则应该使用工具来自动扫描这些包。”
- :具有
- :是
- :不是
- :在哪里
- $UP
- 000
- 24
- 30
- 7
- a
- 账号管理
- 地址
- 调整
- 再次
- 已经
- 还
- an
- 和
- 回答
- 任何
- 出现
- 保健
- 排列
- AS
- 审计
- 作者
- 自动
- 可使用
- 后门
- BE
- 很
- before
- 开始
- 盲目
- 但是
- by
- 相机
- CAN
- 捕获
- 捕获
- 一定
- 链
- 字符
- 中文
- 类
- CO
- 公司
- 配置
- 所连接
- 消费者
- 上下文
- 延续
- 可以
- 创造
- data
- 发达
- do
- 不
- 不
- 下载
- 下载
- 动态
- 每
- 电子
- 结束
- 间谍
- 所有的
- 证据
- 例子
- 事实
- 文件
- 已标记
- 针对
- 止
- 功能
- GOES
- 走了
- 手
- 有
- 藏
- HTTPS
- 确定
- if
- 图片
- in
- 包括
- 产业
- 行业中的应用:
- 内
- 安装
- 接口
- 成
- IP
- IP地址
- ISN
- IT
- 它的
- 一月三十一日
- 工作
- JPEG
- 只是
- 类
- 标签
- 后来
- 库
- 自学资料库
- 谎言
- 代替
- 友情链接
- 已发布
- 清单
- 生活
- 机
- 恶意
- 恶意软件
- 管理的
- 手动
- 生产厂家
- 可能..
- 机制
- 方法
- 显示器
- 更多
- 运动
- my
- 名称
- 净
- 全新
- 没有
- 无处
- 模糊
- of
- on
- 一
- 仅由
- 打开
- 开放源码
- 开放
- 打开
- or
- ot
- 包
- 包
- 平
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 在练习上
- 平台精度
- 先
- 曲目
- 宁
- 遗迹
- 远程
- 报告
- 知识库
- 研究人员
- 资源
- s
- 说
- 浏览
- 截图
- 秒
- 似乎
- 发送
- 设置
- 应该
- 只是
- 睡觉
- 来源
- 说
- 存储
- 流
- 走向成功
- 成功
- 供应
- 供应链
- 可疑
- 需要
- 技术
- 专业技术
- 易于
- 比
- 谢谢
- 这
- 他们
- 然后
- 理论
- 那里。
- 博曼
- 事
- 事
- Free Introduction
- 那些
- 威胁
- 通过
- 至
- 工具
- 趋势
- 信任
- 罕见
- 上传
- 使用
- 用户
- 各个
- 版本
- 愿景
- 是
- 什么是
- 谁的
- 为什么
- 中
- 工作站
- 将
- 止跌
- 写作
- 完全
- 你自己
- 和风网