7月初����,Intezer Labs的研究人員發(fā)現(xiàn)了一種新的Linux惡意軟件偽裝成Gnome shell擴(kuò)展����,旨在監(jiān)視毫無疑問的Linux桌面用戶�。
目前不被任何反惡意軟件引擎的上VirusTotal檢測后門植入物配成EvilGnome [ 1,2�����,3 ]和帶有幾個功能在Linux中惡意軟件的菌株非常罕見����。
“EvilGnome的功能包括桌面截圖�����,文件竊取�����,允許從用戶麥克風(fēng)捕獲錄音以及下載和執(zhí)行更多模塊的能力���,”Intezer研究人員發(fā)現(xiàn)��。
“植入物包含未完成的鍵盤記錄功能����,注釋����,符號名稱和編譯元數(shù)據(jù),通常不會出現(xiàn)在生產(chǎn)版本中���������!
通過自解壓檔案感染
EvilGnome是在使用makeself shell腳本創(chuàng)建的自解壓存檔的幫助下提供的,其中包含在其標(biāo)題中捆綁的惡意有效負(fù)載存檔時生成的所有元數(shù)據(jù)�,可能是錯誤的。
感染是在自執(zhí)行有效負(fù)載的標(biāo)頭中留下的自動運(yùn)行參數(shù)的幫助下自動進(jìn)行的���,該自動運(yùn)行參數(shù)指示它啟動setup.sh ��,將惡意軟件的間諜代理添加到 〜/ .cache / gnome-software / gnome- shell-extensions /文件夾�����,試圖潛入受害者的系統(tǒng)偽裝成Gnome shell擴(kuò)展�����。
EvilGnome還會將一個gnome-shell-ext.sh shell腳本添加 到受損的Linux機(jī)器的crontab中�����,該腳本旨在檢查間諜軟件代理是否仍在運(yùn)行的每一分鐘��。
gnome-shell-ext.sh在感染過程的最后階段執(zhí)行�����,導(dǎo)致gnome-shell-ext間諜軟件代理也被啟動��。
EvilGnome的配置存儲在rtp.dat文件中��,該文件也捆綁在可自提取的有效負(fù)載存檔中�����,它允許后門獲取其命令和控制(C2)服務(wù)器的IP地址�。
具有間諜軟件功能的多個后門模塊
惡意軟件帶有五個模塊,每個模塊都設(shè)計為在一個單獨的線程中運(yùn)行����,并且“對共享資源(例如配置)的訪問受到互斥鎖的保護(hù)��!
在分析EvilGnome后門植入物時���,Intezer Labs發(fā)現(xiàn)了以下模塊:
•ShooterAudio - 從用戶的麥克風(fēng)捕獲音頻并上傳到C2
•ShooterImage - 捕獲屏幕截圖并上傳到C2
•ShooterFile - 掃描文件系統(tǒng)以查找新創(chuàng)建的文件并將其上傳到C2
•ShooterPing - 從C2接收新命令����,泄露數(shù)據(jù)��,可以下載并執(zhí)行新的有效負(fù)載
•ShooterKey - 未實現(xiàn)和未使用��,很可能是未完成的鍵盤記錄模塊
發(fā)送到惡意軟件C2服務(wù)器和從惡意軟件C2服務(wù)器發(fā)送的所有流量都由EvilGnome使用RC5對稱分組密碼加密和解密�,并 使用相同的密鑰借助RC5Simple 開源庫的變體。
如果無法與他們的C2服務(wù)器通信����,Intezer研究人員分析的惡意軟件樣本將他們的所有輸出和被盜數(shù)據(jù)存儲在受感染的 〜/ .cache / gnome-software / gnome-shell-extensions / tmp /文件夾中Linux盒子。
與俄羅斯Gamaredon集團(tuán)的聯(lián)系
根據(jù)Palo Alto Networks的42號威脅研究人員的說法�����,EvilGnome似乎與被稱為Gamaredon Group的俄羅斯威脅組織有關(guān),Gamaredon Group是一個已知至少自2013年以來一直活躍的高級持續(xù)威脅(APT)組織��。
雖然最初Gamaredon Group主要依靠現(xiàn)成的工具�,但在增加技術(shù)專長后,它已慢慢轉(zhuǎn)向開發(fā)自定義惡意軟件植入物����。
EvilGnome惡意軟件開發(fā)人員和Gamaredon集團(tuán)通過使用與Intezer研究人員發(fā)現(xiàn)的相同的托管服務(wù)提供商連接,以及EvilGnome使用連接到與俄羅斯威脅組相關(guān)的域的C2服務(wù)器�����。
兩者還使用3436端口通過SSH連接到他們的C2服務(wù)器�,“兩個額外的服務(wù)器的域名類似于Gamaredon域的命名模式(使用.space TTLD和ddns)”,研究人員在EvilGnome的指導(dǎo)下找到C2主機(jī)提供商����。
最后但并非最不重要的是�����,雖然Gamaredon Group并未開發(fā)或使用任何Linux惡意軟件植入�����,但EvilGnome Linux后門使用的模塊和技術(shù),例如“SFX的使用���,任務(wù)調(diào)度程序的持久性和信息竊取工具的部署” “匹配俄羅斯黑客組織使用的那些�。
Intezer的研究團(tuán)隊在他們的EvilGnome分析結(jié)束時提供了一份妥協(xié)指標(biāo)(IOC)列表����,包括Linux后門植入與Gamaredon Group開發(fā)的其他工具共享的惡意軟件樣本哈希和IP地址/域。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
