Поделиться
На ОС Linux нападает бэкдор, который трудно и обнаружить, и удалить. Он под прячется под уникальным алгоритмом шифрования
Вредонос Auto-Color очень трудно и обнаружить, и удалить из системы.
Начальный вектор неизвестен
Прежде незадокументированный бэкдор под Linux под названием Auto-Color атаковал в ноябре-декабре прошлого года ряд университетов и правительственных организаций в Северной Америке и Азии.
Как отметили исследователи фирмы Palo Alto Networks, обнаружившие вредонос, он отличается крайней скрытностью, к тому же его очень трудно устранить из зараженных систем.
Auto-Color обладает некоторым сходством с семейством вредоносов Symbiote, впервые описанном экспертами компании BlackBerry в 2022 году, но это сходство не является чем-то определяющим: оба вредоноса используют сходные методы сокрытия сетевых соединений, причем Symbiote использует более простой способ.
Специалистам Palo Alto Networks Unit 42 не удалось определить изначальный вектор проникновения. Непосредственная атака начинается с запуска файла с невинными названиями типа door («дверь»), egg («яйцо») или log («журнал»).
Если файл запущен с административными (root) привилегиями, он устанавливает вредоносную библиотеку-имплант (libcext.so.2), которая выдается за легитимную библиотеку libcext.so.0, а затем копирует себя в системный каталог /var/log/cross/auto-color и модифицирует /etc/ld.preload так, чтобы имплант запускался до любой другой системной библиотеки.
Если пользователь, запустивший файл, не обладает root-привилегиями, вредонос все равно запускается, но без инициализации механизмов устойчивого присутствия. Хотя это в теории ограничивает срок, в течение которого злоумышленники имеют доступ в скомпрометированную систему, у них сохраняется возможность получить root-привилегии каким-либо другим способом, и «укоренить» бэкдор в системе.
Auto-Color также отличается использованием уникального самописного алгоритма шифрования для целого ряда функций. Во-первых, он используется для обфускации данных о контрольном сервере, во-вторых, для маскировки данных настроек и сетевого трафика. Кроме того, ключи шифрования динамически меняются при каждом обращении к серверу, что дополнительно затрудняет обнаружение.
После установки соединения с контрольным сервером, Auto-Color получает инструкции на открытие обратного шелла, который обеспечивает злоумышленникам полный доступ в систему, либо на запуск произвольных команд в системе, либо создание и изменение файлов для дальнейшего распространения вредоноса. Кроме того, скомпрометированная Auto-Color система может использоваться как прокси-сервер для перенаправления трафика злоумышленников. Настройки вредоноса могут меняться динамически, опять-таки, по команде с контрольного сервера.
Бэкдор обладает также некоторыми чертами руткита, например, способен перехватывать системные вызовы через функцию libc для сокрытия соединений с контрольным сервером (для этого он модифицирует файл /proc/net/tcp).
Наконец, по данным Unit 42, в Auto-Color встроен механизм самоуничтожения, при запуске которого все следы заражения из системы удаляются. Это, естественно, затрудняет попытки перехватить и изучить вредонос.
Угроза серьезная, даже после выявления
Исследователи указывают, что скрытность, модульная структура и функции удаленного управления делают Auto-Color более чем серьезной угрозой для систем под Linux. В качестве мер предосторожности рекомендуется мониторить любые несанкционированные изменения в файле /etc/ld.preload, которые могут свидетельствовать о присутствии бэкдора, а также мониторить аномалии трафика, связанные с /proc/net/tcp. Полезно также будет применять средства поведенческого анализа для выявления угрозы.
В публикации Unit 42 перечисляются как известные индикаторы компрометации, так и список известных IP-адресов контрольных серверов. Проверка через службы Whois показала, что четыре из пяти приводимых адресов относятся к США и один - к Сингапуру. Два адреса относятся к американской инфраструктуре румынского провайдера M247.
О вероятном происхождении Auto-Color в публикации Palo Alto Networks упоминаний нет.
«Приведенное описание указывает на весьма высокий уровень создателей вредоносной программы, что, скорее всего, означает выделение солидных ресурсов на ее создание» , - считает Александр Зонов, эксперт по информационной безопасности компании SEQ. «С другой стороны, ее очень быстро смогли обнаружить, - либо в силу везения, либо из-за того, что техническая подготовленность экспертов, перехвативших ее, оказался еще выше» .
Эксперт предположил, что изначальным вектором мог быть фишинг - это довольно типично для узконаправленных целевых атак.
Поделиться
Короткая ссылка
