回归最本质的信息安全

Linux又被发现新后门了?

2016年10月24日发布

4,878
0
0

导语:俄罗斯安全公司Doctor Web的安全研究人员已经发现一款新型Linux后门,称为“Linux.BackDoor.FakeFile.1(Linux后门FakeFile.1)”,目前已被用于实时攻击。

 

俄罗斯安全公司Doctor Web的安全研究人员已经发现一款新型Linux后门,称为“Linux.BackDoor.FakeFile.1(Linux后门FakeFile.1)”,目前已被用于实时攻击。

该安全公司持续观察发现,越来越多的恶意软件被设计用于针对Linux计算机系统,更准确地说是针对桌面系统而非服务器。

Linux像任何其他的操作系统一样,可以被恶意代码感染,这些恶意代码主要设计用来攻击主机并获取其控制权。而Linux架构随处可见,攻击者很容易发现暴露在互联网上的Linux服务器漏洞。

对于网络犯罪分子而言,集中精力对付Linux系统是非常正常的行为。Linux恶意软件是威胁环境的自然进化,因为Linux操作系统是数据中心、云基础设施企业以及应用程序服务器的首选平台。此外,Linux系统也是Android设备和其他许多嵌入式系统的核心。

Linux.BackDoor.FakeFile.1木马攻击详情

发现用于实战的最新木马就是“ Linux.BackDoor.FakeFile.1”,由俄罗斯杀毒软件供应商Doctor Web于今年10月发现。该公司的恶意软件分析师们表示,该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。

感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME>/.gconf/apps/gnome-common/gnome-common"并借此开始运作,而后打开一个诱饵文档以伪造正常操作结果,这也是其名称“FakeFile”的由来。

该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中,这意味着其能够在PC重启时自动被加入引导。

奇怪的是,该木马的源代码中存在一条特殊的规则,即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于,恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测,且目前此理论无法进行验证。

一旦初步操作完成,真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器,旨在请求进一步指令。

根据该木马源代码中发现的线索,“Linux.BackDoor.FakeFile.1”具有如下功能:

1. 将某一文件或者文件夹的全部内容发送至命令与控制(C&C)服务器;
2. 将指定文件夹内的内容列表发送至命令与控制(C&C)服务器;
3. 删除目录;
4. 对文件进行重命名或者删除;
5. 创建新的文件与文件夹;
6. 关闭当前会话;
7. 建立反向连接(backconnect)并运行shell命令;
8. 终止反向连接(backconnect);
9. 面向必要文件及文件夹获取或者设定权限;
10. 关闭程序文件;
11. 将自身从受感染主机内移除;
12. 终止后门操作等。

最令人担忧的事实在于,“Linux.BackDoor.FakeFile.1”并不需要root访问权限即可执行上述操作——具体来讲,其只需要当前用户权限即可顺利完成任务。

过去一年以来,针对Linux平台的木马数量开始显著增加,但在多数情况下,其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。

安全厂商很少遇到针对Linux桌面环境的木马。DoctorWeb公司也没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大,因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。

本文翻译于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/1508.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

兮又米

兮又米

嘶吼编辑

发私信

发表评论