根據(jù)Palo Alto Networks Unit 42的最新發(fā)現(xiàn)，北美洲和亞洲的大學(xué)及政府機(jī)構(gòu)在2024年11月至12月期間遭受了一種名為Auto-Color的Linux系統(tǒng)惡意軟件攻擊。

“一旦安裝，Auto-Color允許威脅行為者完全遠(yuǎn)程訪問受感染的機(jī)器，這使得在沒有專用軟件的情況下很難移除它，”安全研究員Alex Armstrong在對該惡意軟件的技術(shù)說明中表示。

Auto-Color的工作原理與攻擊目標(biāo)

Auto-Color的命名源自初始有效載荷在安裝后重命名的文件名。目前尚不清楚它是如何到達(dá)其目標(biāo)的，但已知的是它需要受害者在他們的Linux機(jī)器上顯式運(yùn)行它。

該惡意軟件的一個顯著特點(diǎn)是它用來逃避檢測的諸多技巧。這包括使用看似無害的文件名（如door或egg），隱藏命令和控制（C2）連接，以及利用專有加密算法來掩蓋通信和配置信息。

一旦以root權(quán)限啟動，它會安裝一個名為“l(fā)ibcext.so.2”的惡意庫，將自己復(fù)制并重命名為/var/log/cross/auto-color，并修改“/etc/ld.preload”以確保在主機(jī)上持久存在。

“如果當(dāng)前用戶沒有root權(quán)限，惡意軟件將不會繼續(xù)在系統(tǒng)上安裝逃避檢測的庫，”Armstrong說。“它會在后續(xù)階段盡可能多地執(zhí)行操作，而不依賴這個庫?！?/p>

Auto-Color的高級功能與自我保護(hù)機(jī)制

該庫能夠被動地hook libc中使用的函數(shù)，以攔截open()系統(tǒng)調(diào)用，并通過修改“/proc/net/tcp”來隱藏C2通信，該文件包含所有活動網(wǎng)絡(luò)連接的信息。類似的策略也被另一個名為Symbiote的Linux惡意軟件所采用。

它還通過保護(hù)“/etc/ld.preload”防止進(jìn)一步修改或刪除，從而阻止惡意軟件的卸載。

Auto-Color隨后會聯(lián)系C2服務(wù)器，授予操作者生成反向shell、收集系統(tǒng)信息、創(chuàng)建或修改文件、運(yùn)行程序、將機(jī)器用作遠(yuǎn)程IP地址與特定目標(biāo)IP地址之間的通信代理，甚至通過kill開關(guān)自行卸載的能力。

“在執(zhí)行時，惡意軟件試圖從命令服務(wù)器接收遠(yuǎn)程指令，該服務(wù)器可以在受害者的系統(tǒng)上創(chuàng)建反向shell后門，”Armstrong表示?！巴{行為者使用專有算法分別編譯和加密每個命令服務(wù)器的IP?！?/p>