Auto-Color Linux 后门：TTP 和内部架构曝光

一种新发现的 Linux 后门“Auto-Color”于 2024 年 11 月至 12 月期间首次被发现，其目标是北美和亚洲的政府组织和大学。

该恶意软件最初伪装成无害的色彩增强工具，采用复杂的策略、技术和程序 (TTP) 来渗透系统并维持持续访问。

技术分析

Auto-Color 采用多种规避技术来避免检测。它在运行时动态解析 API，使静态检测更具挑战性。

报告称，该恶意软件的字符串加密隐藏了其功能，使分析变得复杂。

执行后，它会检查 root 权限以部署其全套高级策略：

• 字符串加密：使用XOR运算来混淆其字符串，使得分析人员很难了解其意图。
• 安装：安装后，Auto-Color 会创建一个目录/var/log/cross，并用系统日志填充该目录以融入其中。然后，它将自身复制到名为“auto-color”的此文件夹中，并将权限设置为 777 以确保读取、写入和执行访问。
• 库注入：将一个libcext.so.2旨在模仿合法系统库的共享库放入系统的库路径中。该库用于挂接关键函数，从而拦截和更改与文件操作、权限和网络活动相关的系统调用。

内部架构

Auto-Color 的内部架构揭示了一个维持持久性和隐身性的强大框架：

• 持久性：为了确保持续运行，Auto-Color 通过将自身分叉到这些进程中，与 cron、auditd 和 acpid 等系统守护进程集成，从而利用它们的持久性。
• 网络活动逃避：它挂钩文件访问函数来操纵/proc/net/tcp，过滤掉自己的 C2 通信以隐藏网络监控工具。
• 命令与控制(C2)：Auto-Color 使用加密的 TCP 套接字连接到其 C2 服务器。它采用涉及伪随机数生成的握手机制进行身份验证，确保命令的安全执行。

Auto-Color 可以执行由其 C2 服务器发出的一系列命令：

• 系统信息收集：它可以收集系统详细信息，包括 IP 地址、总内存和操作系统版本，并将其发送回攻击者。
• 文件和目录操作：命令允许读取、写入、删除、重命名和操作文件或目录。
• 反向 Shell 创建：根据命令，它会打开一个反向 Shell，为攻击者提供对受感染主机的交互式访问。
• 代理功能：恶意软件可以充当代理，促进攻击者和另一个目标系统之间的连接。

完整技术报告：

https://zw01f.github.io/malware%20analysis/auto-color/

新闻链接：

https://gbhackers.com/auto-color-linux-backdoor-ttp/