一种新发现的Linux恶意软件,名为Auto-color,正在针对北美和亚洲的教育机构和政府实体进行攻击。该病毒采用先进的隐身技术,以规避检测和清除。
Auto-color的隐身与持久化机制
Palo Alto Networks Unit 42的研究人员发现了这种恶意软件。他们的调查显示,该病毒在2024年11月至12月期间活跃。Auto-color的独特之处在于它使用了无害的文件名,如“door”或“egg”等常见词汇,来伪装其初始可执行文件。
Unit 42的博客文章由Alex Armstrong撰写,文中指出:“尽管文件大小总是相同,但哈希值不同。这是因为恶意软件作者将加密的C2配置负载静态编译到每个恶意软件样本中。”
在执行时,Auto-color会检查其文件名,如果不匹配指定的名称,则会启动安装阶段。这一阶段包括在系统中嵌入一个恶意库植入物,模仿合法的系统库。恶意软件的行为会根据用户是否具有root权限而有所不同。如果具有root权限,它将安装一个旨在覆盖核心系统功能的库。
Auto-color流程图(来源:Palo Alto Networks)
Auto-color隐身的一个关键方面是它操纵了Linux系统的ld.preload文件。这使得恶意软件能够确保其恶意库在其他系统库之前加载,从而能够拦截和修改系统功能。这种技术赋予了恶意软件对系统行为的显著控制能力,包括隐藏其网络活动的能力。
高级网络隐藏与加密通信
Auto-color采用复杂的方法来隐藏其网络连接。它钩住了C标准库中的函数,从而能够过滤和操纵系统的网络连接信息。通过更改/proc/net/tcp文件的内容,它有效地隐藏了与命令和控制服务器的通信,使安全分析师难以检测。研究人员指出,这种操纵比之前发现的恶意软件所使用的类似技术更为先进。
恶意软件使用一种专有的加密机制来连接远程服务器,从动态生成的配置文件或嵌入的加密负载中检索目标服务器详细信息。它使用自定义的流密码与攻击者的基础设施进行安全通信。
博客文章写道:“流密码是一种加密方案,其中密钥与密文的每个字节进行交互。”
一旦建立连接,恶意软件会与服务器交换加密消息,从而在受感染的系统上执行命令。
应对措施与建议
Auto-color的发现凸显了基于Linux的恶意软件的日益复杂化,因为它能够操纵核心系统进程,其先进的规避技术对目标行业构成了重大威胁。组织应加强其安全措施,包括严格的权限控制、行为威胁检测和对Linux系统的持续监控,以降低感染风险。
