研究人员发现了一个新的多平台后门，该后门感染了Windows和Linux系统，使攻击者可以在受感染的计算机上运行恶意代码和二进制文件。

Intezer安全研究员Ignacio Sanmillan发现，这种威胁名为ACBackdoor的恶意软件是由一个威胁小组开发的，该威胁组织具有基于Linux变体的更高复杂性为Linux平台开发恶意工具的经验。

“ ACBackdoor提供了外壳命令的任意执行，任意二进制执行，持久性和更新功能，” Intezer研究人员发现。

感染媒介和移植的恶意软件

两种变体共享相同的命令和控制（C2）服务器，但是它们用来感染受害者的感染媒介却不同：在Fallout Exploit Kit的帮助下，Windows版本通过恶意广告被推送，而Linux负载通过未知的投放系统。

研究人员nao_sec ?于9月分析了此漏洞攻击工具包的最新版本，针对的漏洞为 ?CVE-2018-15982 ?（Flash Player）和 ?CVE-2018-8174 ?（Microsoft Internet Explorer VBScript Engine）漏洞，可通过以下方式感染由攻击者控制的网站的访问者：恶意软件。

幸运的是，“就Windows恶意软件而言，此恶意软件的Windows变体并不代表复杂的威胁，” ?Sanmillan说。

ACBackdoor的Windows版本似乎也从Linux移植而来，这是因为研究人员发现它们共享多个Linux特定的字符串，例如属于Linux文件系统的路径或内核线程进程名称。

除通过未知媒介感染受害者外，在本文发表时，仅VirusTotal上的一个反恶意软件扫描引擎检测到Linux恶意二进制文件，而70个引擎中有37个检测到Windows恶意二进制文件。

尽管Linux二进制文件与Windows版本共享相似的控制流和逻辑，但Linux二进制文件也更加复杂并且具有额外的恶意功能。

报告指出：“ Linux植入程序的编写明显优于Windows植入程序，突出了持久性机制的实现以及不同的后门命令以及Windows版本未提供的其他功能，例如独立的进程创建和进程重命名。”

后门恶意功能

感染受害者的计算机后，该恶意软件将开始使用平台专用工具来收集系统信息，包括其体系结构和MAC地址，以及Windows上的Windows API函数和通常用于打印系统信息的UNIX程序。

完成信息收集任务后，ACBackdoor将在Windows上添加一个注册表项，并在Linux上创建几个符号链接以及一个initrd脚本，以获取持久性并在系统启动时自动启动。

后门程序还将尝试伪装成Microsoft Windows Defender防恶意软件和反间谍软件实用程序MsMpEng.exe进程，而在Linux上它将伪装成Ubuntu UpdateNotifier实用程序，并将其进程重命名为 ?[kworker / u8：7-ev]，一个Linux内核线程。

为了与其C2服务器进行通信，这两种恶意软件变种都使用安全超文本传输协议（HTTPS）作为通信通道，并将所有收集的信息作为BASE64编码的有效负载进行发送。

ACBackdoor可以从C2服务器接收信息，运行，执行和更新命令，从而使其操作员可以运行Shell命令，执行二进制文件并更新受感染系统上的恶意软件。

Sanmillan总结说：“由于在此后门上没有记录可归因的信息，因此某些已知的基于Linux的威胁组有可能更新其工具集。”