Automated Libra 骇客组织机构透过 CAPTCHA 绕开控制技术手动帐号建立,展开身份验证汇率矿机。
上周,澳大利亚骇客组织机构 Automated Libra 透过 CAPTCHA 绕开控制技术同时实现手动帐号建立,在云互联网平台建立帐户,借助完全免费的天然资源展开身份验证汇率矿机来买进。
Automated Libra 是坐落于澳大利亚的骇客组织机构,也是 freejacking 反击公益活动 PurpleUrchin 另一面的骇客组织机构。Freejacking 是采用完全免费云天然资源来继续执行身份验证汇率矿机公益活动的操作过程。Unit 42 科学研究相关人员预测了 Automated Libra 的 250GB 统计数据,辨认出了骇客的基础建设、发展史和采用的控制技术。骇客采用简单的影像预测控制技术绕开 CAPTCHA 影像,同时实现云互联网平台手动化帐号建立,每秒钟能获得成功建立 3-5 个 GitHub 帐户。Unit 42 科学研究相关人员获得成功辨认出了骇客在 PurpleUrchin 反击公益活动中采用的 40 个身份验证汇率手提包和 7 种相同的身份验证汇率。
借助 GitHub 组织工作流展开身份验证汇率矿机
Automated Libra 在特别针对 GitHub 的反击公益活动中结合了 Play and Run 和 freejacking 控制技术。除此之外,普通用户还借助了 GitHub CAPTCHA 检查和的软肋。
普通用户以平均值每秒钟 3-5 个的速率手动建立 GitHub 帐号。建立 GitHub 帐号后,就已经开始了 freejacking 反击公益活动。
普通用户在相同的 VPS(virtual private server)服务商和云服务供应商互联网平台上建立了少于 13 亿个帐户,但并没订阅。那些建立的帐户采用的都是虚假的个人隐私和网银重要信息。这使普通用户能在顺利完成身份验证汇率矿机公益活动后仍未顺利完成订阅。
手动化帐号建立
建立 GitHub 帐户的第二步是输出超链接、公钥和帐号,如图 1 所示:
图 1. GitHub 表单顺利完成
罐子运转交互式互联网排序(VNC)伺服器:采用如下表所示指示开启 Iron 应用程序:
图 2. VNC 伺服器展示 Iron 应用程序
然后采用 xdotool 工具,该工具是顺利完成 GitHub 表单的主要脚本。表单顺利完成后,GitHub 会提示 CAPTCHA:
图 3. GitHub CAPTCHA
普通用户采用了一个非常单纯的机制来解决 CAPTCHA 问题。从普通用户建立的 GitHub 帐户统计统计数据来看,攻击者同时实现 CAPTCHA 绕开的方法非常有效。
借助 CAPTCHA 的软肋
为绕开 CAPTCHA 需要识别图片背景中的星系,普通用户采用了 ImageMagick 工具套件中的 2 个工具:convert 和 identify。
首先,采用 convert 工具将影像转化为 RGB 格式。
图 4 将影像转化为 RBG
转化顺利完成后,采用 identify 指示来提取 red 通道的 skewness 特征:
图 5. 提取 red 通道的 skewness 特征的指示
最终的结果如图 6 所示,以从大到小的顺序排序。值最小的影像就是背景图片,比如:
图 6. 每个图片的 red 通道输出
图 4 中的 image 2 就是识别出的星系背景图片。CAPTCHA 解决后,GitHub 需要一个开启码,如图 7 所示:
图 7. GitHub 请求开启码
IMAP 协议和 PHP 脚本来读取收到的 IMAP 消息。
开启码输出后,手动化操作过程就能生成个人访问 token。GitHub 注册操作过程的最终结果是一个帐号和 GitHub 部署的个人访问 token。
图 8. 调用运转的罐子
随后,罐子继续执行以下操作:
设置 SSH 密钥;
采用 GitHub API 建立 GitHub 库;
配置建立的库的权限。
除此之外,普通用户还采用基于 MD5 哈希值的随机名来对库展开命名。
图 9. 对库展开随机命名的指示
GitHub 库建立顺利完成后,普通用户调用一个 bash 脚本来用目标组织工作流来更新库。组织工作流是用 PHP 脚本生成的, PHP 模板编码的组织工作流示例如图 10 所示:
图 10. PHP 模板
科学研究相关人员辨认出其中的一个组织工作流中有 64 个任务。生成的组织工作流配置为 github.event.client_payload.app 事件下的 repository_dispatch 运转。组织工作流机制允许普通用户继续执行外部应用。在本例,普通用户运转外部 bash 脚本和罐子,如图 11 所示:
图 11. 继续执行外部应用的组织工作流机制
组织工作流运转的 bash 脚本是从外部域名访问的。攻击者运转的罐子是用来安装和初始化身份验证汇率矿机功能的,如图 12 所示:
图 12. 身份验证汇率矿机罐子
生成的组织工作流运转 64 个任务,每个任务都从 5 个可用的唯一配置中随机选择一个。
经过确认的普通用户建立的 GitHub 帐户数如下表所示图所示。
图 13. PurpleUrchin 普通用户建立的 GitHub 帐户数
除此之外,普通用户还在 Heroku、Togglebox、GitHub 等相同云互联网平台服务商建立了超过 13 万用户帐户。