Nowo odkryty, nieudokumentowany wcześniej backdoor Linuksa o nazwie Auto-Color zaatakował w listopadzie i grudniu ubiegłego roku szereg uniwersytetów oraz organizacji rządowych w Ameryce Północnej i Azji. Jak donoszą badacze z Palo Alto Networks, którzy zidentyfikowali to złośliwe oprogramowanie, charakteryzuje się ono wyjątkową dyskrecją i jest niezwykle trudne do usunięcia z zainfekowanych systemów.
Auto-Color wykazuje pewne podobieństwa do rodziny złośliwego oprogramowania Symbiote, opisanego po raz pierwszy przez ekspertów BlackBerry w 2022 roku. Oba narzędzia wykorzystują zaawansowane techniki ukrywania połączeń sieciowych, choć metoda stosowana przez Symbiote jest nieco prostsza. Pomimo tych podobieństw, Auto-Color wyróżnia się nowatorskimi mechanizmami kamuflażu oraz modułową architekturą.
Eksperci z jednostki 42 Palo Alto Networks nie byli w stanie jednoznacznie określić pierwotnego wektora infekcji. Właściwy atak rozpoczyna się poprzez uruchomienie pliku o pozornie nieszkodliwej nazwie. Jeśli plik zostanie uruchomiony z uprawnieniami administratora (root), zainstaluje on złośliwą bibliotekę implantu (libcext.so.2), która podszywa się pod legalną bibliotekę libcext.so.0. Następnie kopiuje się do katalogu systemowego /var/log/cross/auto-color i modyfikuje plik /etc/ld.preload, tak aby implant był uruchamiany przed wszystkimi innymi bibliotekami systemowymi.
W przypadku braku uprawnień administratora, złośliwe oprogramowanie nadal działa, ale nie inicjuje mechanizmów trwałej obecności. Teoretycznie ogranicza to czas dostępu atakujących do systemu, jednak mogą oni eskalować swoje uprawnienia i uzyskać dostęp na poziomie roota.
Zaawansowane techniki szyfrowania i ukrywania
Auto-Color wykorzystuje unikalny algorytm szyfrowania w celu maskowania danych konfiguracyjnych i ruchu sieciowego. Klucze szyfrujące zmieniają się dynamicznie przy każdym dostępie do serwera sterującego, co utrudnia analizę i wykrycie zagrożenia.
Po ustanowieniu połączenia z serwerem sterującym, Auto-Color otrzymuje instrukcje otwarcia odwrotnej powłoki, co zapewnia atakującym pełny dostęp do systemu. Mogą oni wykonywać dowolne polecenia, modyfikować pliki oraz rozprzestrzeniać kolejne wersje malware. Zainfekowane urządzenia mogą być również wykorzystywane jako serwery proxy do maskowania ruchu cyberprzestępców.
Backdoor posiada także funkcje rootkita, przechwytując wywołania systemowe za pomocą funkcji libc. W celu ukrycia połączeń z serwerem sterującym Auto-Color modyfikuje plik /proc/net/tcp, co dodatkowo utrudnia jego wykrycie.
Mechanizm samozniszczenia
Według jednostki 42 Palo Alto Networks, Auto-Color posiada także wbudowany mechanizm samozniszczenia, który w razie potrzeby usuwa wszelkie ślady infekcji. Funkcja ta komplikuje próby przechwycenia i analizy złośliwego oprogramowania, co czyni je jeszcze groźniejszym.
Zagrożenie pozostaje realne nawet po wykryciu
Eksperci ostrzegają, że Auto-Color ze względu na swoją zdolność do ukrywania się i zdalnego sterowania stanowi poważne zagrożenie dla systemów opartych na Linuksie. Zalecane środki ostrożności obejmują:
- Monitorowanie pliku /etc/ld.preload pod kątem nieautoryzowanych zmian,
- Analizę anomalii ruchu w /proc/net/tcp,
- Stosowanie narzędzi analizy behawioralnej do wykrywania niecodziennych aktywności.
Jednostka 42 udostępniła wskaźniki zagrożenia oraz listę znanych adresów IP serwerów sterujących. Analiza Whois ujawniła, że cztery z pięciu podanych adresów znajdują się w Stanach Zjednoczonych, a jeden w Singapurze. W publikacji Palo Alto Networks nie wskazano prawdopodobnego pochodzenia Auto-Color.
Pokaż / Dodaj komentarze do: Wyrafinowany backdoor atakuje Linuxa. Ukrywa się pod unikalnym algorytmem