技术解读 | 最新Python代码中的恶意“意图”

　　受影响平台：可安装 PyPI 软件包的所有平台

　　受影响实体：安装此类恶意软件包的个人或组织机构

　　攻击影响：凭据、敏感信息等泄露

　　严重等级：高危

　　近期，Fortinet 人工智能驱动的 OSS 恶意软件检测系统发现了两个恶意软件包：Zebo-0.1.0和 Cometlogger-0.1。此类恶意软件通常伪装成合法程序，通过复杂的代码逻辑结构和混淆技术，巧妙隐藏自身攻击特性。我们将深入剖析这两个恶意包背后的 Python 脚本，详细阐述其具体的恶意行为，并概述可能带来的潜在负面影响。

　　Zebo-0.1.0 脚本是一款典型的恶意软件，通常使用 pynput和 ImageGrab 库以及多种混淆技术，实施监控、窃取数据和越权控制等明显的恶意意图。

　　Cometlogger-0.1 脚本同样表现出恶意行为的迹象，如动态文件操纵、webhook 注入、信息窃取和反虚拟机检测等。

　　Zebo-0.1.0 代码概述

　　Zebo-0.1.0 采用的代码逻辑结构，便于其执行各种侵犯用户隐私和安全性的恶意任务，主要采用的技术及功能包括：

　　混淆：绕过安全检测机制

　　键盘记录：捕获并存储用户通过键盘输入的所有数据

　　屏幕捕获：定期截取并保存用户桌面屏幕截图

　　数据窃取：将敏感信息(如按键记录、屏幕截图等)上传至远程服务器

　　持久化机制：确保恶意软件在系统重启后，依然能够自动执行。

　　01

　　混淆

　　恶意软件通常采用混淆技术，故意掩盖其真实意图，导致用户或安全系统难以及时洞悉代码执行后的实际目的。在该示例中，一旦脚本或其功能组件经恶意混淆处理，则未经授权的数据收集、系统操纵等恶意行为便可悄然运行。混淆技术还能为恶意软件披上隐身衣，使其轻松绕过安全防护措施，在用户毫无察觉的情况下肆意妄为，严重威胁用户的隐私安全与系统的完整性。

　　Zebo 的代码使用十六进制编码字符串(例如 \x68\x74\x74...)来隐藏与之进行通信的 C2 服务器的 URL。通过对远程服务器的 HTTP 请求采用命令和控制机制，管理恶意软件的行为并收集窃取的数据。这种混淆技术试图在代码审查或自动扫描期间逃避安全检测机制，表现出明显的恶意迹象。

　　02

　　键盘记录

　　恶意软件通过使用 pynput 库，使脚本能够捕获用户所执行的每次键盘输入。

　　04

　　数据窃取

　　在此代码中使用数据窃取功能属恶意行为，因为涉及在用户不知情或未经同意的情况下，秘密收集和传输用户系统中的敏感数据。安装后运行的脚本(i_am_cute())可用于实现未经授权的数据访问，可能将用户个人信息发送至远程 C2 服务器。这种行为可能涉及侵犯用户隐私和损害安全性的风险。如果发现该行为，软件开发商或分销商可能需承担相应法律责任，因为该行为可能被视为黑客攻击或数据窃取行为。

　　受害者的日志和屏幕截图被发送至 Firebase 数据库，将用户敏感数据暴露给未经授权的各方。这一过程通过 HTTP PUT 请求来执行：

　　05

　　持久化机制

　　安全问题：安装后运行的脚本可自动执行命令，攻击者可利用该脚本在用户不知情的情况下非法运行恶意代码。如果该脚本已被感染，攻击者则可能在用户系统中安装恶意软件或窃取敏感数据。

　　未经授权的篡改：攻击者在安装过程中嵌入持久化机制，使用户在脚本安装完成后难以追踪和控制其执行情况，可能导致用户系统或软件行为发生非预期更改。

　　难以检测的恶意行为：该脚本在安装完成后以静默方式执行，用户可能对系统上运行的内容毫不知情。这种透明度的缺乏将增加隐藏后门的风险，此类攻击通常难以检测和缓解。

　　为了确保脚本在每次系统启动时自动运行，该恶意软件：

　　已安装代码若存在以下危险行为，表明可能存在恶意活动。

　　Webhook 操纵：该代码向用户动态请求“webhook”，并将其注入至“Comet.py”和“Exela.py”等 Python 文件中。

　　信息窃取：从 各种平台(如Discord、Steam、Instagram、Twitter)窃取令牌、密码和帐户。

　　反虚拟机检测：用于逃避安全分析或沙箱的虚拟化检测环境

　　动态文件篡改：脚本在运行时篡改 Python 文件，这种方法可在执行过程中启用恶意代码注入以供攻击者后续非法利用。

　　建立持久性：长期潜伏于受害者系统。

　　01

　　Webhook 注入

　　安全风险：将 webhook URL 直接注入代码中，可能会令未经授权的攻击者非法操纵用户系统，从而为恶意攻击敞开大门。如果攻击者篡改 webhook URL，可能将敏感数据重定向至恶意服务器，危及用户数据安全性。

　　数据完整性：允许运行时动态更改 webhook 可能造成意外篡改，导致发送错误或不一致的数据，进而影响系统功能，并导致不同服务间的通信错误。

　　恶意利用：攻击者可以通过在多个位置对 webhook 注入进行硬编码来执行恶意代码。由于代码可轻易被篡改和重复使用，攻击者可通过 webhook 发送有害负载来损害用户系统或窃取敏感数据。

　　恶意脚本反复提示用户输入 webhook，并将其动态注入至文件中

　　注入的 webhook 可以：

　　将敏感信息发送至远程 C2 服务器。

　　帮助攻击者远程执行命令和控制(C2)操作。

　　信息窃取：

　　comet.py 文件中的脚本通过非法搜集用户保存的密码、会话 cookies 以及浏览历史记录，严重侵犯用户隐私。这种行为不仅埋下了巨大的安全隐患，还可能被不法分子大肆利用来假冒用户身份、盗取财务信息或侵占账户。对于企业组织而言，这类恶意软件如同定时炸弹，一旦得逞，可能造成未经授权的账户访问，进而导致敏感数据外泄，进而让企业面临严峻的法律诉讼和财务损失。此外，一旦通过从主流社交平台嗅探大量 cookie 信息，这类恶意软件还可以劫持帐户，发送垃圾邮件、实施诈骗或盗用身份。

　　反虚拟机检测和虚假错误消息技术

　　攻击者通常使用反虚拟机检测技术，识别其代码是否在研究人员或安全工具常用的沙箱或虚拟机中运行。该代码可检查常见的虚拟化指标，例如“VMware”和“VirtualBox”之类的常见虚拟化标识。一旦发现此类指标，代码即终止任务执行以逃避安全检测，帮助攻击者躲避受控环境中的安全监控机制。

　　虚假错误消息技术可诱骗用户运行恶意软件代码。

　　04

　　动态文件篡改

　　安全问题：该代码基于用户输入信息更改文件，可能篡改 webhook 等敏感数据。如果攻击者提供恶意输入或篡改文件内容，这将为恶意利用大开方便之门。

　　数据完整性风险：未经验证使用替换操作可能导致文件损坏或被意外篡改，尤其在文件被其他进程或应用程序同时使用时，应加倍警惕该风险。

　　恶意软件风险：与压缩可执行文件的 UPX 工具集成，可能引发恶意代码执行方面的安全问题。UPX 工具通常被攻击者用于混淆恶意软件，令安全工具难以有效检测和识别。

　　该代码修改外部文件(Comet.py 和 Exela.py)，而不验证其内容或用途：

　　使用 UPX(可执行程序文件压缩工具)

　　安全风险：UPX 可能被攻击者用于代码混淆，令安全工具更难以分析可执行文件。如果恶意软件使用 UPX 进行压缩，可能会导致安全工具无法有效识别或检测其恶意行为。

　　兼容性问题：使用 UPX 压缩可能导致某些防病毒软件或系统配置出现问题，因为某些安全工具可能将压缩的可执行文件标记为可疑文件，引发告警误报。

　　性能影响：虽然使用 UPX 压缩可大幅缩减文件大小，但运行时的解压缩过程可能会导致运行延迟，影响应用程序性能，尤其在关键代码区域过度使用时，影响尤为明显。

　　使用 subprocess.call 频繁调用 utils/upx.exe 的行为高度可疑：

　　持久性

　　连续的异常循环可能导致多个问题，例如占用过多 CPU 资源、导致系统卡顿和性能下降，还可能掩盖问题的根本原因，使系统调试更加困难。如果在未经正确处理的情况下出现异常，则程序将变得无响应且更难以维护。

　　该脚本通过采用无限循环，在用户环境中实现持久化：

　　建议操作

　　断开网络连接：立即隔离受感染系统，防止数据进一步泄露。

　　运行防病毒工具：部署信誉可靠的防病毒软件，及时有效检测并删除恶意软件。

　　重新格式化系统：如果感染仍存在，请重新格式化系统并重新安装操作系统。

　　预防措施

　　代码审查：运行第三方脚本和可执行文件前，始终对其进行验证。

　　网络监控：部署防火墙和入侵检测系统，精准识别可疑网络活动。

　　教育培训：培训用户识别网络钓鱼尝试，并避免执行未经验证的脚本。

　　结论

　　Zebo-0.1.0 恶意 Python 脚本堪称恶意软件的经典示例，分析后大家可以认清其监视、数据窃取及未经授权控制等恶意功能。通过巧妙运用 pynput、ImageGrab 等库，再辅以多种混淆技术，该恶意脚本存在明显的损害用户利益、谋取不当之利的恶意企图。这类脚本的发现再次警醒我们，强大的网络安全意识不可或缺，构建坚实的防御体系至关重要。

　　Cometlogger-0.1 脚本表现出恶意意图的几项特征，包括动态文件操纵、webhook 注入、信息窃取、反虚拟机检测。虽然该脚本的某些特性可能是合法工具的一部分，但由于运行过程不够透明，加之存在一些可疑功能，导致运行该脚本存在安全隐患。因此，执行相关代码前，务必仔细审查代码内容。对于来源不明的脚本，应时刻保持警惕，避免与之进行交互，确保信息安全。

　　　资料来源于网络，详情请点击：NP7第七代网络处理器（https://www.fortinet.com/cn/solutions/enterprise-midsize-business/hyperscale）