我横扫整个互联网的那一天：意外研究项目CVE-2020-1350

如果您创建一个二进制文件、几个bash脚本、一个自述文件和出色的时间安排，您会得到什么呢？

今天，关于为什么人们应该在运行代码和Repos之前阅读代码和报告，https://t.co/calGnBbllS利用👀9/10将再次在互联网上大行其道。

-安迪·吉尔(@Zeph Fish)2020年7月14日。

#直到创建一个假PoC来横扫整个互联网，如果时机选择正确，就会获得牵引力。几天后我会更新更多的数字https://t.co/DKDXb9h9kV#SIGRED#CVE20201350。

-安迪·吉尔(@Zeph Fish)2020年7月15日。

在我们深入到实际研究之前，我想向Checkpoint Research的团队快速致敬，他们发现了最初的秃鹫，并发表了一篇很棒的文章，可以在这里找到。

回放一下，你们中的一些人可能正在阅读，认为这是WTF吗？我能吃哈克斯吗？对不起，朋友们，那些追求Hax的人，这纯粹是一篇分析文章，解释了为什么人们似乎不理解为什么不应该盲目运行代码的基本原因。

PoC是良性的，它推出了一种金丝雀代币，即贝壳中的Rick Rolls。

有多少人盲目相信他们在互联网上读到的东西，各位，2020年是哪一年？里克·罗林还活着。

这最初是一个巨魔，但很快就变成了一个研究项目，在非常短的时间内获得了巨大的吸引力。表明人们会在不检查他们实际做什么的情况下管理事情。

总而言之，在发布金丝雀代币时，仅金丝雀代币就捕获了五个独立的潜在内部威胁实例，我收到了一些信息要感谢我：-)。

PoC被TI提要接收，并很快在几个TI提要上直播：

自那以后，两人都撤下了帖子，但很高兴看到，瓦肯站出来承认他们太草率了：

我们本应该去的，但没有去，我们太草率了。该帖子已相应更新。

-Vulcan Cyber(@VulcanCyber)2020年7月15日。

在发布金丝雀代币的时候已经触发了600多次，存储库已经收到了超过51K的浏览量，最初的推文也接近76K的印象。在收集了几天金丝雀大火的地点后，我会更新这篇帖子，提供更多的分析！

SAN还在他们的网络广播中提到了这两个PoC，查看了代码，并将其评为伪造的，如下所示：

我从所有这一切中学到的一件事是，人们会运行任何东西，如果我是一个真正的恶意行为者，这可以说是盲目钓鱼的最好方式之一，用恶意软件取代那个EXE，你就会有成百上千的外壳。相当精神真的pic.twitter.com/fBvQNVXi 2G。

-安迪·吉尔(@Zeph Fish)2020年7月15日。

2020-07-14 20：00GMT+1：检查站创建的原始博客帖子2020-07-14 20：04 GMT+1：PoC存储库首次创建2020-07-14 20：09 GMT+1：poc从https://twitter.com/CVE20201350/status/1283116416191934467发布推文2020-07-14 20：33 GMT+1：首次转发漏洞2020-07-14 20：48 GMT+1：poc链接命中Vulnmon TI Feed 2020-07-14 21：06 GMT+1：第一条金丝雀令牌。2020-07-14 23：45格林尼治标准时间+1：TinkerSec'；S PoC发布2020-07-15 09：09 GMT+1：CERT-IST发布虚假PoC 2020-07-15 16：10 GMT+1：此博客文章发布：-)。

repo中的代码加载了金丝雀令牌和一般的恶意攻击，下面的文件列表详细说明了每件事是什么以及它做了什么。