botaa3 Malware

botaa3 Malware说明

在 Python Package Index (PyPI) 存储库中发现了另一个威胁包。在它被删除之前,这个威胁已经成功地累积了大约 130 次下载。该软件包被命名为“botaa3”,试图模仿名称“boto3”,这是一种广受欢迎的用于 Python 的亚马逊网络服务 (AWS) 软件开发工具包 (SDK)。

网络安全专家分析了威胁的代码并发现了其邪恶的功能。 botaa3 包,如果成功部署后,攻击者将能够在受攻击的系统上执行任意代码,从而有效地控制它。

技术细节

botaa3 包具有使用 base64 编码和按位异或加密的多个级别的混淆。另外,它还携带了合法的boto3包的全部代码。事实上,威胁安装 boto3 作为其行动的一部分,试图进一步避免引起任何怀疑。埋在代码中的还有一个设置在 2020 年 11 月 17 日的“KillDate”。在此日期之后,botaa3 包将不再可用。

威胁能力

恶意软件首先采取的行动之一是检查其命令和控制(C2、C&C)服务器。在此步骤中,botaa3 会泄露从受害者系统中获取的各种信息。数据包括 IP 地址、操作系统和架构详细信息、帐户凭据、主机名、FQDN(完全限定域名)等。

之后,botaa3 将等待传入的命令。攻击者能够收集文件或下载其他文件、操纵文件系统(删除文件和文件夹)、打开反向 shell、加载额外的 Python 模块和脚本等。攻击者还可以指示恶意软件停止其活动并铺设休眠。

在被告知存在 botaa3 威胁后,PyPI 安全团队几乎立即采取了行动并删除了威胁包。