新型Linux恶意软件Auto-Color曝光，赋予黑客完全远程访问权限

Palo Alto Networks Unit 42发现了一种名为“Auto-Color”的新型Linux恶意软件，该软件在2024年11月至12月期间针对北美和亚洲的大学和政府组织发动攻击，赋予攻击者对受感染系统的完全远程控制权。

安全研究人员Alex Armstrong在一份技术报告中指出：“一旦安装，Auto-Color允许威胁行为者对受感染的机器进行完全远程访问，这使得在没有专门软件的情况下很难将其删除。”

Auto-Color的命名源于初始有效载荷在安装后重命名自身的文件名。目前尚不清楚它是如何到达目标的，但已知的是它需要受害者在其Linux机器上显式运行它。

该恶意软件的一个显著特点是它采用了一系列技巧来逃避检测。这包括使用看似无害的文件名（如door或egg）、隐藏命令和控制（C2）连接，以及利用专有加密算法来掩盖通信和配置信息。

一旦以root权限启动，它会继续安装一个名为“libcext.so.2”的恶意库植入程序，将自身复制并重命名为/var/log/cross/auto-color，并修改“/etc/ld.preload”以在主机上建立持久性。

Armstrong说：“如果当前用户没有root权限，恶意软件将不会继续在系统上安装规避库植入程序。它将在后续阶段尽可能多地执行操作，而无需此库。”

该库植入程序能够被动地hook libc中使用的函数，以拦截open()系统调用，它利用该调用通过修改“/proc/net/tcp”来隐藏C2通信，该文件包含所有活动网络连接的信息。另一种名为Symbiote的Linux恶意软件也采用了类似的技术。

它还通过保护“/etc/ld.preload”免受进一步修改或删除来防止卸载恶意软件。

然后，Auto-Color会联系C2服务器，从而使攻击者能够生成反向shell、收集系统信息、创建或修改文件、运行程序、将机器用作远程IP地址和特定目标IP地址之间通信的代理，甚至通过kill switch卸载自身。

Armstrong说：“执行后，恶意软件会尝试从命令服务器接收远程指令，该服务器可以在受害者的系统上创建反向shell后门。威胁行为者使用专有算法分别编译和加密每个命令服务器IP。”

主要威胁：

• 完全远程访问：
  
   攻击者可以完全控制受感染的系统。
• 持久性：
  
   恶意软件通过修改系统文件建立持久性，难以清除。
• 隐蔽性：
  
   采用多种技术手段逃避检测，包括伪装文件名、隐藏C2通信和使用专有加密。
• 反卸载保护：
  
   阻止用户卸载恶意软件。
• 潜在的代理功能:
  
   可以被用来作为跳板攻击其他系统。

受影响目标：

• 北美和亚洲的大学
• 政府组织

建议：

• Linux系统管理员：
  
   检查系统中是否存在“libcext.so.2”和“/var/log/cross/auto-color”等可疑文件。
• 监控网络流量：
  
   密切关注“/proc/net/tcp”文件的异常修改，以及与未知IP地址的可疑通信。
• 使用安全软件：
  
   部署能够检测和清除此类高级恶意软件的安全解决方案。
• 保持系统更新：
  
   及时应用安全补丁，以防止已知漏洞被利用。
• 权限管理:
  
   严格控制root权限的使用。

总结：

Auto-Color的出现表明，针对Linux系统的恶意软件正在变得越来越复杂和隐蔽。组织机构需要加强对Linux系统的安全防护，提高威胁检测和响应能力，以应对此类高级威胁。

原文始发于微信公众号（技术修道场）：新型Linux恶意软件“Auto-Color”曝光，赋予黑客完全远程访问权限