新型Linux恶意软件“Auto-Color”允许黑客彻底远程控制受感染系统

安全
新型Linux恶意软件“Auto-Color”可远程完全控制系统,主要攻击大学和政府机构,隐蔽性强,难以检测和清除,威胁网络安全。

根据Palo Alto Networks Unit 42的最新发现,北美洲和亚洲的大学及政府机构在2024年11月至12月期间遭受了一种名为Auto-Color的Linux系统恶意软件攻击。

“一旦安装,Auto-Color允许威胁行为者完全远程访问受感染的机器,这使得在没有专用软件的情况下很难移除它,”安全研究员Alex Armstrong在对该恶意软件的技术说明中表示。

Auto-Color的工作原理与攻击目标

Auto-Color的命名源自初始有效载荷在安装后重命名的文件名。目前尚不清楚它是如何到达其目标的,但已知的是它需要受害者在他们的Linux机器上显式运行它。

该恶意软件的一个显著特点是它用来逃避检测的诸多技巧。这包括使用看似无害的文件名(如door或egg),隐藏命令和控制(C2)连接,以及利用专有加密算法来掩盖通信和配置信息。

一旦以root权限启动,它会安装一个名为“libcext.so.2”的恶意库,将自己复制并重命名为/var/log/cross/auto-color,并修改“/etc/ld.preload”以确保在主机上持久存在。

“如果当前用户没有root权限,恶意软件将不会继续在系统上安装逃避检测的库,”Armstrong说。“它会在后续阶段尽可能多地执行操作,而不依赖这个库。”

Auto-Color的高级功能与自我保护机制

该库能够被动地hook libc中使用的函数,以拦截open()系统调用,并通过修改“/proc/net/tcp”来隐藏C2通信,该文件包含所有活动网络连接的信息。类似的策略也被另一个名为Symbiote的Linux恶意软件所采用。

它还通过保护“/etc/ld.preload”防止进一步修改或删除,从而阻止恶意软件的卸载。

Auto-Color随后会联系C2服务器,授予操作者生成反向shell、收集系统信息、创建或修改文件、运行程序、将机器用作远程IP地址与特定目标IP地址之间的通信代理,甚至通过kill开关自行卸载的能力。

“在执行时,恶意软件试图从命令服务器接收远程指令,该服务器可以在受害者的系统上创建反向shell后门,”Armstrong表示。“威胁行为者使用专有算法分别编译和加密每个命令服务器的IP。”

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-12-03 15:19:02

2022-02-20 10:35:05

僵尸网络网络攻击

2015-11-09 16:21:13

2022-09-08 18:41:34

恶意软件ShikitegaLinux

2013-08-29 17:05:16

2014-01-15 15:01:54

远程控制

2024-02-19 08:16:40

2022-10-13 11:48:46

恶意软件网络钓鱼

2022-01-20 08:19:18

恶意软件DDoS网络攻击

2023-08-18 10:14:27

2013-09-09 11:12:06

网络人远程控制软件

2017-01-17 16:01:13

2014-12-26 14:35:34

2022-01-13 10:05:05

黑客特斯拉软件漏洞

2024-06-18 11:48:23

2013-10-14 10:19:26

2013-10-21 18:30:19

2009-07-06 17:09:19

SUSE LinuxVNC远程控制实用技巧

2009-04-22 09:43:28

点赞
收藏

51CTO技术栈公众号