Auto-Color Linux 后门:TTP 和内部架构曝光

admin 2025年4月8日13:43:57评论7 views字数 1054阅读3分30秒阅读模式

导 

一种新发现的 Linux 后门“Auto-Color”于 2024 年 11 月至 12 月期间首次被发现,其目标是北美和亚洲的政府组织和大学。

Auto-Color Linux 后门:TTP 和内部架构曝光

该恶意软件最初伪装成无害的色彩增强工具,采用复杂的策略、技术和程序 (TTP) 来渗透系统并维持持续访问。

技术分析

Auto-Color 采用多种规避技术来避免检测。它在运行时动态解析 API,使静态检测更具挑战性。

报告称,该恶意软件的字符串加密隐藏了其功能,使分析变得复杂。

Auto-Color Linux 后门:TTP 和内部架构曝光

执行后,它会检查 root 权限以部署其全套高级策略:

  • 字符串加密:使用XOR运算来混淆其字符串,使得分析人员很难了解其意图。
  • 安装:安装后,Auto-Color 会创建一个目录/var/log/cross,并用系统日志填充该目录以融入其中。然后,它将自身复制到名为“auto-color”的此文件夹中,并将权限设置为 777 以确保读取、写入和执行访问。
  • 库注入:将一个libcext.so.2旨在模仿合法系统库的共享库放入系统的库路径中。该库用于挂接关键函数,从而拦截和更改与文件操作、权限和网络活动相关的系统调用。

内部架构

Auto-Color 的内部架构揭示了一个维持持久性和隐身性的强大框架:

  • 持久性:为了确保持续运行,Auto-Color 通过将自身分叉到这些进程中,与 cron、auditd 和 acpid 等系统守护进程集成,从而利用它们的持久性。
  • 网络活动逃避:它挂钩文件访问函数来操纵/proc/net/tcp,过滤掉自己的 C2 通信以隐藏网络监控工具。
  • 命令与控制(C2):Auto-Color 使用加密的 TCP 套接字连接到其 C2 服务器。它采用涉及伪随机数生成的握手机制进行身份验证,确保命令的安全执行。

Auto-Color 可以执行由其 C2 服务器发出的一系列命令:

  • 系统信息收集:它可以收集系统详细信息,包括 IP 地址、总内存和操作系统版本,并将其发送回攻击者。
  • 文件和目录操作:命令允许读取、写入、删除、重命名和操作文件或目录。
  • 反向 Shell 创建:根据命令,它会打开一个反向 Shell,为攻击者提供对受感染主机的交互式访问。
  • 代理功能:恶意软件可以充当代理,促进攻击者和另一个目标系统之间的连接。

完整技术报告:

https://zw01f.github.io/malware%20analysis/auto-color/

新闻链接:

https://gbhackers.com/auto-color-linux-backdoor-ttp/

Auto-Color Linux 后门:TTP 和内部架构曝光

原文始发于微信公众号(军哥网络安全读报):Auto-Color Linux 后门:TTP 和内部架构曝光

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月8日13:43:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Auto-Color Linux 后门:TTP 和内部架构曝光http://cn-sec.com/archives/3928822.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息