安全公司發現瞄準Linux桌面用戶後門程序EvilGnome
安全公司Intezer Labs研究人員發現一種新的Linux惡意軟體EvilGnome,其瞄準的對象是Linux桌面用戶,EvilGnome會偽裝Gnome殼層擴展,但實際上為Linux後門植入程序,偷偷地上傳屏幕截屏或是文件等私密數據,目前主要的安全解決方案都無法偵測到EvilGnome,研究人員提到,這個惡意軟體可能與俄國的APT(Advanced Persistent Threat)攻擊集團Gamaredon有關。
這個惡意軟體的特殊之處在於瞄準的群體,是Linux的桌面用戶,研究人員提到,過去在Linux上發現的惡意程序,通常是加密礦工或是DDoS殭屍網路工具等,這類瞄準伺服器的攻擊工具,畢竟Linux伺服器佔總Linux使用組成的70%,而桌面操作系統僅只有2%。
EvilGnome會偽裝成知名桌面環境GNOME的擴展,進行桌面截屏、竊取文件,並從麥克風截取錄音,還能自行下載其他模塊擴展功能。EvilGnome帶有5個模塊,ShooterSound模塊會截取用戶麥克風聲音,ShooterImage模塊則會截取屏幕截屏,而ShooterFile模塊負責掃描文件系統中的新文件,這些模塊收集到的文件,都會被上傳到指揮與控制伺服器(C2),另外還有ShooterPing模塊能接受新命令,每個模塊都使用獨立的線程運行。
這些模塊與C2伺服器間數據傳輸,都會加密以躲避基本的流量掃描。研究人員提到,這個被上傳到網路安全分析服務VirusTotal上(下圖)的後門植入程序,感覺是一個測試版,因為其中包含了未完成的鍵盤側錄模塊ShooterKey,以及程序註解以及編譯元數據,而這些元數據通常不應該出現在正式生產版本中。
研究人員還發現,EvilGnome與俄羅斯黑客集團Gamaredon有關,EvilGnome使用的主機供應商與Gamaredon一直以來使用的相同,EvilGnome的C2伺服器的IP位置,與Gamaredon使用的域名相關聯,而在基礎設施上,EvilGnome的C2伺服器使用連接埠3436提供SSH服務,而Gamaredon正在運行的C2伺服器,也使用連接埠3436提供SSH服務。
由於Gamaredon習慣不使用任何已被發現的Linux植入程序,因此研究人員也無從進行直接的比對,因此只能從這些較高端的特徵判斷觀察。Gamaredon從2013年來一直就非常活躍,專針對與烏克蘭政府相關的人進行攻擊,會使用惡意附件感染受害者,而Gamaredon的植入程序的特性,包括使用信息竊取工具SFX,偷取屏幕截屏或是文件,這項特性也有在EvilGnome上被發現。
Intezer Labs建議用戶可以檢查~/.cache/gnome-software/gnome-shell-extensions目錄,看是否存在名為gnome-shell-ext的可執行文件,以確認是否遭到感染,Intezer Labs也創建了自定義的YARA規則,供用戶檢測EvilGnome未來的變體。
※美國得來速連鎖餐廳POS系統中毒
※Netflix披露FreeBSD與Linux核心漏洞
TAG:十輪網 |