针对Linux,Windows用户的新型ACBackdoor恶意软件

<返回列表

研究人员发现了一个新的多平台后门,该后门感染了Windows和Linux系统,使攻击者可以在受感染的计算机上运行恶意代码和二进制文件。

Intezer安全研究员Ignacio Sanmillan发现,这种威胁名为ACBackdoor的恶意软件是由一个威胁小组开发的,该威胁组织具有基于Linux变体的更高复杂性为Linux平台开发恶意工具的经验。

“ ACBackdoor提供了外壳命令的任意执行,任意二进制执行,持久性和更新功能,” Intezer研究人员发现。

感染媒介和移植的恶意软件

两种变体共享相同的命令和控制(C2)服务器,但是它们用来感染受害者的感染媒介却不同:在Fallout Exploit Kit的帮助下,Windows版本通过恶意广告被推送,而Linux负载通过未知的投放系统。

研究人员nao_sec  于9月分析了此漏洞攻击工具包的最新版本,针对的漏洞为  CVE-2018-15982  (Flash Player)和  CVE-2018-8174  (Microsoft Internet Explorer VBScript Engine)漏洞,可通过以下方式感染由攻击者控制的网站的访问者:恶意软件。

幸运的是,“就Windows恶意软件而言,此恶意软件的Windows变体并不代表复杂的威胁,”  Sanmillan说。

ACBackdoor的Windows版本似乎也从Linux移植而来,这是因为研究人员发现它们共享多个Linux特定的字符串,例如属于Linux文件系统的路径或内核线程进程名称。

除通过未知媒介感染受害者外,在本文发表时,仅VirusTotal上的一个反恶意软件扫描引擎检测到Linux恶意二进制文件,而70个引擎中有37个检测到Windows恶意二进制文件。

尽管Linux二进制文件与Windows版本共享相似的控制流和逻辑,但Linux二进制文件也更加复杂并且具有额外的恶意功能。

报告指出:“ Linux植入程序的编写明显优于Windows植入程序,突出了持久性机制的实现以及不同的后门命令以及Windows版本未提供的其他功能,例如独立的进程创建和进程重命名。”

后门恶意功能

感染受害者的计算机后,该恶意软件将开始使用平台专用工具来收集系统信息,包括其体系结构和MAC地址,以及Windows上的Windows API函数和通常用于打印系统信息的UNIX程序。

完成信息收集任务后,ACBackdoor将在Windows上添加一个注册表项,并在Linux上创建几个符号链接以及一个initrd脚本,以获取持久性并在系统启动时自动启动。

后门程序还将尝试伪装成Microsoft Windows Defender防恶意软件和反间谍软件实用程序MsMpEng.exe进程,而在Linux上它将伪装成Ubuntu UpdateNotifier实用程序,并将其进程重命名为  [kworker / u8:7-ev],一个Linux内核线程。

为了与其C2服务器进行通信,这两种恶意软件变种都使用安全超文本传输协议(HTTPS)作为通信通道,并将所有收集的信息作为BASE64编码的有效负载进行发送。

ACBackdoor可以从C2服务器接收信息,运行,执行和更新命令,从而使其操作员可以运行Shell命令,执行二进制文件并更新受感染系统上的恶意软件。

Sanmillan总结说:“由于在此后门上没有记录可归因的信息,因此某些已知的基于Linux的威胁组有可能更新其工具集。”

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

针对Linux,Windows用户的新型ACBackdoor恶意软

新闻中心 2023-12-20
研究人员发现了一个新的多平台后门,该后门感染了Windows和Linux系统,使攻击者可以在受感染...
查看全文

微软正在向Windows 10添加基于HTTPS的DNS(

新闻中心 2023-12-19
微软宣布将在未来的Windows 10版本中增加对基于隐私的DNS的HTTPS(DoH)协议的支持,同时还将保...
查看全文

从七个方面维护服务器安全

新闻中心 2023-12-19
对于一个网络而言,维护其服务器安全的重要性是不言而喻的,那么作为管理员的你如何来更...
查看全文