 近日,以色列网络安全公司Intezer发现了一个病毒检出率为零的Linux后门——ACBackdoor,它似乎并不出自任何一个已知的黑客组织之手  图1.ACBackdoor Linux变种的病毒检出率 此外,Intezer公司还发现了相同后门的Windows变种。与其他大多数Windows病毒一样,ACBackdoor Windows变种与Linux变种相比,病毒检出率高了不少。  图2.ACBackdoor Windows变种的病毒检出率 技术分析表明,ACBackdoor不仅为攻击者提供了执行任意shell命令以及二进制文件的能力,而且还能够实现长久驻留以及自我更新。 此外,该后门背后的团队似乎对于入侵Linux系统很有经验,并且正在将黑手伸向Windows系统,以扩大攻击范围。 技术分析Linux二进制文件是一个静态链接的ELF文件,而Windows二进制文件则是一个动态链接的PE文件。就整体功能而言,两类变种在本质上都是相同的,只是在实现上存在细微差别。 首先,两类变种使用相同的协议与同一台C2服务器进行通信,区别在于交付载体不同:  图3.两类变种之间的关联 其中,Windows变种是通过Fallout漏洞利用工具包交付的,且病毒传播目前仍在进行。 后门分析Windows变种的设计相对简单,二进制文件是使用MinGW编译器生成的。  图4.ACBackdoor Windows变种中的MinGW字符串 主函数没有经过混淆处理,逻辑上看起来很简单。在Windows变种中,我们可以看到函数头是如何解码某些字符串的。  图5.ACBackdoor Windows变种的主函数 此外,我们还可以在解密的字符串中看到特定于Linux的字符串,例如内核线程进程名称或属于Linux文件系统的路径。这可能意味着,ACBackdoor Windows变种是直接从Linux变种移植过来的。  图6.ACBackdoor Linux变种的主函数 在完成初始字符串的解码后,ACBackdoor会收集受感染主机的架构、系统版本和MAC地址等信息。  图7.ACBackdoor Linux和Windows变种之间的代码结构相似性 在收集到这些信息后,ACBackdoor将连接这些字段,添加可能表示某种版本ID的字符串“0.5”,然后使用MD5 哈希算法加密字符串。  图8.两类ACBackdoor变种收集的受感染主机信息 之后,ACBackdoor便会为实现长久驻留进行一系列操作。其中Windows变种会修改注册表项“HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun”,以便随系统的启动而启动;Linux变种则会添加一个initrd脚本,目的同样是实现在系统启动时自动运行。  图9.ACBackdoor用于实现长久驻留的代码 在运行时,Windows变种试图伪装成Microsoft Anti Spyware实用程序(MsMpEng.exe),而Linux变种则试图伪装成Ubuntu的更新工具(update-notifier)。如果在受感染的Linux系统上运行ps命令,我们可以在进程列表中看到如下进程名称:  图10. ACBackdoor Linux变种执行的进程重命名 结论经过对ACBackdoor Linux变种和Windows变种的对比分析,Intezer公司认为,ACBackdoor的开发者缺乏编写Windows病毒的经验。例如,Linux变种的代码编写明显优于Windows变种。 不过,这两类变种所能够实现的恶意功能,是完全一致的。 |
|
|
