研究人員發(fā)現(xiàn)了一個新的多平臺后門���,該后門感染了Windows和Linux系統(tǒng),使攻擊者可以在受感染的計算機(jī)上運(yùn)行惡意代碼和二進(jìn)制文件�����。
Intezer安全研究員Ignacio Sanmillan發(fā)現(xiàn)���,這種威脅名為ACBackdoor的惡意軟件是由一個威脅小組開發(fā)的�����,該威脅組織具有基于Linux變體的更高復(fù)雜性為Linux平臺開發(fā)惡意工具的經(jīng)驗�。
“ ACBackdoor提供了外殼命令的任意執(zhí)行�,任意二進(jìn)制執(zhí)行,持久性和更新功能����,” Intezer研究人員發(fā)現(xiàn)���。
感染媒介和移植的惡意軟件
兩種變體共享相同的命令和控制(C2)服務(wù)器���,但是它們用來感染受害者的感染媒介卻不同:在Fallout Exploit Kit的幫助下�����,Windows版本通過惡意廣告被推送���,而Linux負(fù)載通過未知的投放系統(tǒng)。
研究人員nao_sec 于9月分析了此漏洞攻擊工具包的最新版本���,針對的漏洞為 CVE-2018-15982 (Flash Player)和 CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine)漏洞�����,可通過以下方式感染由攻擊者控制的網(wǎng)站的訪問者:惡意軟件����。
幸運(yùn)的是��,“就Windows惡意軟件而言��,此惡意軟件的Windows變體并不代表復(fù)雜的威脅����,” Sanmillan說����。
ACBackdoor的Windows版本似乎也從Linux移植而來��,這是因為研究人員發(fā)現(xiàn)它們共享多個Linux特定的字符串���,例如屬于Linux文件系統(tǒng)的路徑或內(nèi)核線程進(jìn)程名稱���。
除通過未知媒介感染受害者外,在本文發(fā)表時����,僅VirusTotal上的一個反惡意軟件掃描引擎檢測到Linux惡意二進(jìn)制文件,而70個引擎中有37個檢測到Windows惡意二進(jìn)制文件���。
盡管Linux二進(jìn)制文件與Windows版本共享相似的控制流和邏輯���,但Linux二進(jìn)制文件也更加復(fù)雜并且具有額外的惡意功能。
報告指出:“ Linux植入程序的編寫明顯優(yōu)于Windows植入程序�����,突出了持久性機(jī)制的實現(xiàn)以及不同的后門命令以及Windows版本未提供的其他功能����,例如獨(dú)立的進(jìn)程創(chuàng)建和進(jìn)程重命名����!
后門惡意功能
感染受害者的計算機(jī)后,該惡意軟件將開始使用平臺專用工具來收集系統(tǒng)信息�����,包括其體系結(jié)構(gòu)和MAC地址���,以及Windows上的Windows API函數(shù)和通常用于打印系統(tǒng)信息的UNIX程序�。
完成信息收集任務(wù)后�����,ACBackdoor將在Windows上添加一個注冊表項����,并在Linux上創(chuàng)建幾個符號鏈接以及一個initrd腳本,以獲取持久性并在系統(tǒng)啟動時自動啟動�����。
后門程序還將嘗試偽裝成Microsoft Windows Defender防惡意軟件和反間諜軟件實用程序MsMpEng.exe進(jìn)程,而在Linux上它將偽裝成Ubuntu UpdateNotifier實用程序��,并將其進(jìn)程重命名為 [kworker / u8:7-ev]�,一個Linux內(nèi)核線程。
為了與其C2服務(wù)器進(jìn)行通信����,這兩種惡意軟件變種都使用安全超文本傳輸協(xié)議(HTTPS)作為通信通道,并將所有收集的信息作為BASE64編碼的有效負(fù)載進(jìn)行發(fā)送���。
ACBackdoor可以從C2服務(wù)器接收信息��,運(yùn)行��,執(zhí)行和更新命令��,從而使其操作員可以運(yùn)行Shell命令���,執(zhí)行二進(jìn)制文件并更新受感染系統(tǒng)上的惡意軟件。
Sanmillan總結(jié)說:“由于在此后門上沒有記錄可歸因的信息��,因此某些已知的基于Linux的威脅組有可能更新其工具集���!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
