一種新發(fā)現(xiàn)的Linux惡意軟件，名為Auto-color，正在針對(duì)北美和亞洲的教育機(jī)構(gòu)和政府實(shí)體進(jìn)行攻擊。該病毒采用先進(jìn)的隱身技術(shù)，以規(guī)避檢測和清除。

Auto-color的隱身與持久化機(jī)制

Palo Alto Networks Unit 42的研究人員發(fā)現(xiàn)了這種惡意軟件。他們的調(diào)查顯示，該病毒在2024年11月至12月期間活躍。Auto-color的獨(dú)特之處在于它使用了無害的文件名，如“door”或“egg”等常見詞匯，來偽裝其初始可執(zhí)行文件。

Unit 42的博客文章由Alex Armstrong撰寫，文中指出：“盡管文件大小總是相同，但哈希值不同。這是因?yàn)閻阂廛浖髡邔⒓用艿腃2配置負(fù)載靜態(tài)編譯到每個(gè)惡意軟件樣本中?！?/p>

在執(zhí)行時(shí)，Auto-color會(huì)檢查其文件名，如果不匹配指定的名稱，則會(huì)啟動(dòng)安裝階段。這一階段包括在系統(tǒng)中嵌入一個(gè)惡意庫植入物，模仿合法的系統(tǒng)庫。惡意軟件的行為會(huì)根據(jù)用戶是否具有root權(quán)限而有所不同。如果具有root權(quán)限，它將安裝一個(gè)旨在覆蓋核心系統(tǒng)功能的庫。

Auto-color流程圖（來源：Palo Alto Networks）

Auto-color隱身的一個(gè)關(guān)鍵方面是它操縱了Linux系統(tǒng)的ld.preload文件。這使得惡意軟件能夠確保其惡意庫在其他系統(tǒng)庫之前加載，從而能夠攔截和修改系統(tǒng)功能。這種技術(shù)賦予了惡意軟件對(duì)系統(tǒng)行為的顯著控制能力，包括隱藏其網(wǎng)絡(luò)活動(dòng)的能力。

高級(jí)網(wǎng)絡(luò)隱藏與加密通信

Auto-color采用復(fù)雜的方法來隱藏其網(wǎng)絡(luò)連接。它鉤住了C標(biāo)準(zhǔn)庫中的函數(shù)，從而能夠過濾和操縱系統(tǒng)的網(wǎng)絡(luò)連接信息。通過更改/proc/net/tcp文件的內(nèi)容，它有效地隱藏了與命令和控制服務(wù)器的通信，使安全分析師難以檢測。研究人員指出，這種操縱比之前發(fā)現(xiàn)的惡意軟件所使用的類似技術(shù)更為先進(jìn)。

惡意軟件使用一種專有的加密機(jī)制來連接遠(yuǎn)程服務(wù)器，從動(dòng)態(tài)生成的配置文件或嵌入的加密負(fù)載中檢索目標(biāo)服務(wù)器詳細(xì)信息。它使用自定義的流密碼與攻擊者的基礎(chǔ)設(shè)施進(jìn)行安全通信。

博客文章寫道：“流密碼是一種加密方案，其中密鑰與密文的每個(gè)字節(jié)進(jìn)行交互?！?/p>

一旦建立連接，惡意軟件會(huì)與服務(wù)器交換加密消息，從而在受感染的系統(tǒng)上執(zhí)行命令。

應(yīng)對(duì)措施與建議

Auto-color的發(fā)現(xiàn)凸顯了基于Linux的惡意軟件的日益復(fù)雜化，因?yàn)樗軌虿倏v核心系統(tǒng)進(jìn)程，其先進(jìn)的規(guī)避技術(shù)對(duì)目標(biāo)行業(yè)構(gòu)成了重大威脅。組織應(yīng)加強(qiáng)其安全措施，包括嚴(yán)格的權(quán)限控制、行為威脅檢測和對(duì)Linux系統(tǒng)的持續(xù)監(jiān)控，以降低感染風(fēng)險(xiǎn)。