根据Palo Alto Networks Unit 42的最新发现,北美洲和亚洲的大学及政府机构在2024年11月至12月期间遭受了一种名为Auto-Color的Linux系统恶意软件攻击。
“一旦安装,Auto-Color允许威胁行为者完全远程访问受感染的机器,这使得在没有专用软件的情况下很难移除它,”安全研究员Alex Armstrong在对该恶意软件的技术说明中表示。
Auto-Color的工作原理与攻击目标
Auto-Color的命名源自初始有效载荷在安装后重命名的文件名。目前尚不清楚它是如何到达其目标的,但已知的是它需要受害者在他们的Linux机器上显式运行它。
该恶意软件的一个显著特点是它用来逃避检测的诸多技巧。这包括使用看似无害的文件名(如door或egg),隐藏命令和控制(C2)连接,以及利用专有加密算法来掩盖通信和配置信息。
一旦以root权限启动,它会安装一个名为“libcext.so.2”的恶意库,将自己复制并重命名为/var/log/cross/auto-color,并修改“/etc/ld.preload”以确保在主机上持久存在。
“如果当前用户没有root权限,恶意软件将不会继续在系统上安装逃避检测的库,”Armstrong说。“它会在后续阶段尽可能多地执行操作,而不依赖这个库。”
Auto-Color的高级功能与自我保护机制
该库能够被动地hook libc中使用的函数,以拦截open()系统调用,并通过修改“/proc/net/tcp”来隐藏C2通信,该文件包含所有活动网络连接的信息。类似的策略也被另一个名为Symbiote的Linux恶意软件所采用。
它还通过保护“/etc/ld.preload”防止进一步修改或删除,从而阻止恶意软件的卸载。
Auto-Color随后会联系C2服务器,授予操作者生成反向shell、收集系统信息、创建或修改文件、运行程序、将机器用作远程IP地址与特定目标IP地址之间的通信代理,甚至通过kill开关自行卸载的能力。
“在执行时,恶意软件试图从命令服务器接收远程指令,该服务器可以在受害者的系统上创建反向shell后门,”Armstrong表示。“威胁行为者使用专有算法分别编译和加密每个命令服务器的IP。”