网络安全厂商ESET研究人员近期发现了两个以前未知的Linux后门样本:WolfsBane和FireWood。这些样本被用于网络攻击活动,目标是窃取敏感数据,如系统信息、用户凭证以及特定文件和目录。这些工具旨在保持持久访问权限,并秘密执行命令,以便于在逃避检测的同时进行长期的敏感数据收集。
WolfsBane分析:
研究人员发现WolfsBane是Windows后门Gelsevirine的Linux对应版本,WolfsBane样本最初在VirusTotal上被发现,上传地点包括台湾、菲律宾和新加坡,很可能源自对被入侵服务器的事件响应。研究人员高度确信这些样本与Gelsemium组织有关,这是一个高级持续性威胁(APT)组织。Gelsemium组织此前曾针对东亚和中东地区的实体进行攻击,其已知历史可追溯至2014年。此前,尚未有公开报告称Gelsemium组织使用过Linux恶意软件。
WolfsBane是一个简单的加载链的一部分,包括投递者(dropper)、启动器(launcher)和后门(backdoor)。WolfsBane投递者模仿了合法的命令调度工具cron,而其启动器和后门则分别伪装成KDE桌面组件和udevd系统服务。在WolfsBane攻击链中,还包含了一个修改过的开源用户空间Rootkit。这意味着攻击者利用了开源的Rootkit代码,对其进行了修改,以适应他们的攻击需求。这种Rootkit存在于操作系统的用户空间,并能够隐藏其活动,使得防御者难以检测到攻击者的行为。
图 1 WolfsBane感染链
FireWood分析:
研究人员还发现了另一个Linux后门FireWood。然而,研究人员无法确定FireWood与Gelsemium组织工具之间的联系,其在分析的报告中的出现可能是巧合。因此,研究人员对FireWood归因于Gelsemium组织的信心较低,但与一个被研究人员追踪的名为Project Wood的后门有关。研究人员追溯分析到2005年,并观察到它演变成更复杂的版本。该后门曾在Operation TooHash事件中被使用过,在事件分析的报告中还包含几个额外的工具——主要是webshells,这些工具一旦安装在被入侵的服务器上,就允许攻击者远程控制。
研究人员通过对比WolfsBane和FireWood与Gelsemium之前使用的Windows恶意软件的相似性,确定了这些Linux后门的归属。分析发现,这些后门在网络通信、命令执行机制、配置结构和域名使用上与Gelsemium的历史活动有显著相似之处。研究人员指出,APT组织越来越多地关注Linux恶意软件,这一趋势可能与Windows电子邮件和端点安全性的改进有关。随着端点检测和响应(EDR)工具的广泛使用,以及微软默认禁用Visual Basic for Applications(VBA)宏,攻击者正在寻找新的攻击途径,特别是针对互联网面向系统的漏洞,其中大多数系统运行在Linux上。
https://www.helpnetsecurity.com/2024/11/21/linux-backdoors-wolfsbane-firewood/
原文始发于微信公众号(白泽安全实验室):研究人员发现两个未被披露的Linux后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3429483.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论