Linux 系统受到新型 RedXOR 恶意软件攻击

Andrew 2021-03-12
专栏 发布于 2021-03-12 11:10:23 阅读 366 评论 0

研究人员说,新型RedXOR后门针对数据外泄和网络流量隧道功能的Linux系统。

研究人员发现了一种针对Linux系统的新后门,他们将其链接回Winnti威胁小组。

后门被称为RedXOR-部分是因为其网络数据编码方案基于XOR加密算法,部分原因是其样本是在Red Hat Enterprise Linux平台的旧版本中找到的。研究人员指出,后一个事实提供了一个线索,表明RedXOR被用于针对传统Linux系统的针对性攻击。

研究人员说,该恶意软件具有多种恶意功能-从泄露数据到将网络流量隧道传输到另一个目的地。

Intezer的安全研究人员Avigayil Mechtinger说:“这场活动最初的方案未知,但Linux环境的一些常见切入点是:使用泄露的凭据,或者利用漏洞或错误配置。” “也有可能最初的危害是通过不同的端点,这意味着威胁行为者横向移动到部署了该恶意软件的Linux计算机。”

在从印度尼西亚和台湾的两个不同来源上载到VirusTotal之后,对样本进行了检测。研究人员说,基于此,很可能至少有两个实体在其环境中发现了该恶意软件。

RedXOR恶意软件:网络安全威胁

执行后,RedXOR在主文件夹内创建一个隐藏文件夹(称为“ .po1kitd.thumb”),然后将其用于存储与恶意软件有关的文件。然后,它在此文件夹中创建一个隐藏文件(“ .po1kitd-2a4D53 ”)。然后,该恶意软件将二进制文件安装到隐藏文件夹(称为“ .po1kitd-update-k ”),并通过“ init ”脚本设置持久性。

研究人员在周三的分析中说:“恶意软件将加密的配置存储在二进制文件中。” “除了命令和控制(C2)IP地址和端口,还可以将其配置为使用代理。该配置包括一个密码……恶意软件使用此密码对C2服务器进行身份验证。”

建立此配置后,恶意软件然后通过TCP套接字与C2服务器通信,并且可以执行各种不同的命令(通过命令代码)。这些命令包括:上传,删除或打开文件,执行Shell命令,建立网络流量隧道以及将内容写入文件。

研究人员说,他们发现RedXOR与先前报告的与Winnti相关的其他恶意软件之间存在“关键相似之处”:PWNLNX后门,XOR.DDOS僵尸网络和Groundhog僵尸网络。该Winnti威胁组(又名APT41,Barium, Wicked Panda or Wicked Spider)是著名的族国家支持的网络间谍活动以及金融网络犯罪。

这些相似之处包括使用开源内核rootkit(用于隐藏其进程)。使用的功能名称CheckLKM;使用XOR进行网络编码;以及主要功能流程中的各种相似之处。

研究人员说,“ RedXOR的整体代码流,行为和功能与PWNLNX非常相似。” 两者都具有文件上传和下载功能以及正在运行的shell。这两个系列中的网络隧道功能都称为“ PortMap”。”

研究人员表示,到2020年,新的Linux恶意软件家族将增长40%,创下56种恶意软件的新记录。 他们说,除了Winnti之外,诸如APT28,APT29和Carbanak之类的威胁参与者正在开发其传统恶意软件的Linux版本。

Intezer研究人员说:“由于Linux在大多数公共云工作负载上运行,因此Linux系统受到不断的攻击。” “ Sophos进行的一项调查发现,在过去的一年中,使用公共云托管数据或工作负载的组织中有70%发生了安全事件。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!