近期,FortiGuard实验室发现了一种名为
“ELF/Sshdinjector.A!tr”的新型恶意软件工具包,它能够感染和远程控制系统、建立根权限、维持恶意软件的存在、外泄用户凭证或媒体访问控制(MAC)地址等数据、执行来自远程主控程序的命令并与之安全通信。
据FortiGuard实验室研究人员的报告指出,自2024年11月中旬以来,该木马一直被用于攻击,并专门针对运行开源Linux操作系统的网络设备和物联网(IoT)设备。
ELF/Sshdinjector.A!tr是一个可注入安全shell守护程序(sshd)的恶意软件集合,该程序支持两个不受信任的主机通过不安全的网络或互联网进行加密通信。这样,攻击者就可以在用户不知情的情况下执行各种操作。Fortinet没有透露设备最初是如何被攻破的。
攻击使用了几个包含有害代码的二进制文件。最初的“dropper”通过搜索特定文件(/bin/lsxxxssswwdd11vv,包含“WATERDROP”字样)来检查设备是否已经被入侵,并检查该文件是否具有root权限(最高级别的访问权限)。
如果设备尚未被感染,恶意软件就会投放多个恶意二进制文件,包括一个SSH库,该库与远程僵尸主控或C2服务器通信。C2会指示恶意软件收集信息、监控进程、窃取凭证并执行远程命令。
然后,其他几个二进制文件会确保主机继续受到感染(这就是所谓的恶意软件持久性,或程序、浏览器或计算机关闭后的存活能力)。
收集地址和用户名并将其外泄;
通过分析/etc/init.d目录中的文件,列出正在运行的服务;
从基于文本的密码文件/etc/shadow中读取敏感的用户数据;
列出所有正在运行的进程;
测试系统日志的访问权限;
测试对敏感数据的访问;
列出目录内容;
传输文件(上传或下载);
打开远程shell终端,提供完全的命令行访问权限;
执行攻击者的命令;
从设备内存中删除和退出恶意进程;
删除文件;
重命名文件;
提醒攻击者恶意软件处于活动状态
(“SERVER_RET_ONLINE_ACK”_);
发送窃取的数据。
有趣的是,恶意有效载荷包括名为“haha”“heihei”和“xixi(嘻嘻)”的功能,这是其创建者的一种嘲弄。正因如此,FortiGuard实验室的研究人员将该木马归咎于Chinese Evasive Panda(据称受我国支持的黑客组织)。
原文始发于微信公众号(安在):新木马出现,专门劫持Linux和物联网设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论