行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
针对Linux,Windows用户的新型ACBackdoor恶意软件
2019-11-19 10:40:46 【

研究人员发现了一个新的多平台后门,该后门感染了Windows和Linux系统,使攻击者可以在受感染的计算机上运行恶意代码和二进制文件。

Intezer安全研究员Ignacio Sanmillan发现,这种威胁名为ACBackdoor的恶意软件是由一个威胁小组开发的,该威胁组织具有基于Linux变体的更高复杂性为Linux平台开发恶意工具的经验。

“ ACBackdoor提供了外壳命令的任意执行,任意二进制执行,持久性和更新功能,” Intezer研究人员发现。

感染媒介和移植的恶意软件

两种变体共享相同的命令和控制(C2)服务器,但是它们用来感染受害者的感染媒介却不同:在Fallout Exploit Kit的帮助下,Windows版本通过恶意广告被推送,而Linux负载通过未知的投放系统。

研究人员nao_sec  于9月分析了此漏洞攻击工具包的最新版本,针对的漏洞为  CVE-2018-15982  (Flash Player)和  CVE-2018-8174  (Microsoft Internet Explorer VBScript Engine)漏洞,可通过以下方式感染由攻击者控制的网站的访问者:恶意软件。

幸运的是,“就Windows恶意软件而言,此恶意软件的Windows变体并不代表复杂的威胁,”  Sanmillan说

ACBackdoor的Windows版本似乎也从Linux移植而来,这是因为研究人员发现它们共享多个Linux特定的字符串,例如属于Linux文件系统的路径或内核线程进程名称。


除通过未知媒介感染受害者外,在本文发表时,仅VirusTotal上的一个反恶意软件扫描引擎检测到Linux恶意二进制文件,而70个引擎中有37个检测到Windows恶意二进制文件。

尽管Linux二进制文件与Windows版本共享相似的控制流和逻辑,但Linux二进制文件也更加复杂并且具有额外的恶意功能。

报告指出:“ Linux植入程序的编写明显优于Windows植入程序,突出了持久性机制的实现以及不同的后门命令以及Windows版本未提供的其他功能,例如独立的进程创建和进程重命名。”

后门恶意功能

感染受害者的计算机后,该恶意软件将开始使用平台专用工具来收集系统信息,包括其体系结构和MAC地址,以及Windows上的Windows API函数和通常用于打印系统信息的UNIX程序。

完成信息收集任务后,ACBackdoor将在Windows上添加一个注册表项,并在Linux上创建几个符号链接以及一个initrd脚本,以获取持久性并在系统启动时自动启动。

后门程序还将尝试伪装成Microsoft Windows Defender防恶意软件和反间谍软件实用程序MsMpEng.exe进程,而在Linux上它将伪装成Ubuntu UpdateNotifier实用程序,并将其进程重命名为  [kworker / u8:7-ev],一个Linux内核线程。

为了与其C2服务器进行通信,这两种恶意软件变种都使用安全超文本传输协议(HTTPS)作为通信通道,并将所有收集的信息作为BASE64编码的有效负载进行发送。

ACBackdoor可以从C2服务器接收信息,运行,执行和更新命令,从而使其操作员可以运行Shell命令,执行二进制文件并更新受感染系统上的恶意软件。

Sanmillan总结说:“由于在此后门上没有记录可归因的信息,因此某些已知的基于Linux的威胁组有可能更新其工具集。”



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇给刚刚接触网络安全的开发者们的.. 下一篇微软正在向Windows 10添加基于HTT..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800