网络安全研究团队ANY.RUN发现一起复杂攻击活动,攻击者利用Diamorphine rootkit(根套件)在Linux系统上部署加密货币挖矿程序,这凸显了开源工具在恶意活动中被滥用的趋势日益严重。
通过ANY.RUN沙箱的详细分析,该攻击采用多阶段渗透策略,运用高级持久化和规避技术,对基于Linux的环境构成重大威胁。
Part01
隐蔽的多阶段攻击链
攻击始于一个伪装成Python文件的分支脚本,该脚本部署了Diamorphine rootkit——这是一个可加载内核模块(LKM),支持从2.6.x到6.x版本的Linux内核,兼容x86、x86_64和ARM64架构。
该rootkit通过劫持系统调用来隐藏自身活动,同时执行精心设计的攻击步骤:首先安装所需依赖项并终止竞争进程(如其他加密货币挖矿程序)以最大化资源利用率;随后从互联网下载三个恶意负载:伪装成python-3.7.3.so的挖矿程序、挖矿负载cloud以及Diamorphine rootkit压缩包python37.tar。
为确保持久化,攻击脚本替换了/bin/ps工具以隐藏进程,并创建systemd服务使挖矿程序能在系统重启后自动运行。Diamorphine rootkit随后被加载到内核中,通过操纵系统调用进一步隐藏挖矿活动。
攻击者还通过窃取受害主机的SSH密钥实现横向移动,利用这些密钥渗透网络中的其他系统。最终,脚本会清除系统日志以阻碍取证分析,几乎不留活动痕迹。
Part02
三重防御机制
该攻击的核心特征是其三层自我保护机制:通过替换ps工具、安装Diamorphine rootkit以及加载劫持系统调用的库文件,恶意程序能有效规避标准监控工具的检测。这种分层防御使得检测和清除极为困难——rootkit利用list_del函数将自己从内核模块列表中移除,导致传统工具如lsmod无法识别,rmmod命令也宣告失效。
Part03
开源工具武器化与防御建议
Diamorphine rootkit和挖矿程序均基于GitHub托管的开源代码构建,该平台正日益成为恶意攻击者的资源库。这个由用户"m0nad"最初开发的项目被武器化的事实,表明易获取的工具如何被恶意改造。
攻击者通过窃取SSH密钥实现横向移动,其终止其他挖矿程序的行为也揭示了地下经济中攻击者对感染主机的争夺现状。ANY.RUN通过其Linux虚拟机分析,完整揭示了恶意程序的进程活动与持久化机制,并分享了入侵指标(IOCs)和威胁情报查询语句以协助企业识别新型样本。
此事件突显了Linux环境面临的升级威胁——随着Linux在服务器、云基础设施和物联网设备的广泛应用,攻击者结合开源工具滥用与LKM rootkit等高级规避技术,给防御者带来严峻挑战。
ANY.RUN建议采用其平台进行深度分析,同时配合定期系统更新、监控异常SSH活动、使用GitHub。
Actions Secrets或HashiCorp Vault强化密钥管理等主动防御措施。通过TruffleHog等工具进行代码审计也有助于发现仓库中的暴露凭证。随着针对Linux的恶意软件日趋复杂,这起Diamorphine rootkit攻击事件再次敲响了保持警惕的警钟。
原文始发于微信公众号(FreeBuf):利用Diamorphine Rootkit的蠕虫式攻击窃取SSH密钥并提权
评论