导 读
一种新发现的 Linux 后门“Auto-Color”于 2024 年 11 月至 12 月期间首次被发现,其目标是北美和亚洲的政府组织和大学。
该恶意软件最初伪装成无害的色彩增强工具,采用复杂的策略、技术和程序 (TTP) 来渗透系统并维持持续访问。
技术分析
Auto-Color 采用多种规避技术来避免检测。它在运行时动态解析 API,使静态检测更具挑战性。
报告称,该恶意软件的字符串加密隐藏了其功能,使分析变得复杂。
执行后,它会检查 root 权限以部署其全套高级策略:
- 字符串加密:使用XOR运算来混淆其字符串,使得分析人员很难了解其意图。
- 安装:安装后,Auto-Color 会创建一个目录/var/log/cross,并用系统日志填充该目录以融入其中。然后,它将自身复制到名为“auto-color”的此文件夹中,并将权限设置为 777 以确保读取、写入和执行访问。
- 库注入:将一个libcext.so.2旨在模仿合法系统库的共享库放入系统的库路径中。该库用于挂接关键函数,从而拦截和更改与文件操作、权限和网络活动相关的系统调用。
内部架构
Auto-Color 的内部架构揭示了一个维持持久性和隐身性的强大框架:
- 持久性:为了确保持续运行,Auto-Color 通过将自身分叉到这些进程中,与 cron、auditd 和 acpid 等系统守护进程集成,从而利用它们的持久性。
- 网络活动逃避:它挂钩文件访问函数来操纵/proc/net/tcp,过滤掉自己的 C2 通信以隐藏网络监控工具。
- 命令与控制(C2):Auto-Color 使用加密的 TCP 套接字连接到其 C2 服务器。它采用涉及伪随机数生成的握手机制进行身份验证,确保命令的安全执行。
Auto-Color 可以执行由其 C2 服务器发出的一系列命令:
- 系统信息收集:它可以收集系统详细信息,包括 IP 地址、总内存和操作系统版本,并将其发送回攻击者。
- 文件和目录操作:命令允许读取、写入、删除、重命名和操作文件或目录。
- 反向 Shell 创建:根据命令,它会打开一个反向 Shell,为攻击者提供对受感染主机的交互式访问。
- 代理功能:恶意软件可以充当代理,促进攻击者和另一个目标系统之间的连接。
完整技术报告:
https://zw01f.github.io/malware%20analysis/auto-color/
新闻链接:
https://gbhackers.com/auto-color-linux-backdoor-ttp/
原文始发于微信公众号(军哥网络安全读报):Auto-Color Linux 后门:TTP 和内部架构曝光
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论