针对Linux桌面用户的稀有特务软件EvilGnome | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

针对Linux桌面用户的稀有特务软件EvilGnome

申博_安全预警 申博 76次浏览 未收录 0个评论

引见

近期,Intezer Labs的研讨职员发明一种新的Linux歹意软件EvilGnome,该歹意软件会伪装成Gnome拓展,但其实际上为Linux后门植入顺序。EvilGnome重要针对Linux桌面用户,这点很稀有,毕竟Linux效劳器占总Linux运用构成的70%,而桌面作业体系仅只有2%。过去在Linux上发明的加密矿工或是DDoS僵尸收集等歹意东西,一般都是对准效劳器举行进击的。

别的有证据表明该歹意软件可以跟俄罗斯APT构造Gamaredon有关。如今,一切重要的平安解决方案都没有检测到此歹意软件。

我们传到VirusTotal的样本多是一个测试版本,有未完成的键盘纪录功用,另有解释、标记名和编译元数据,这些一般不会出如今临盆版本中。EvilGnome的功用包括桌面截图、文件盗取、从麦克风捕捉灌音以及下载和实行其他模块。

与Gamaredon构造的关联

Gamaredon构造据称与俄罗斯有关,自2013年以来一向活泼,重要针对与乌克兰政府有关的个人,体式格局是经由历程鱼叉式收集垂纶感染受害者偷窃目标信息。该构造的特点是其信息盗取东西,另有经由历程计划使命完成耐久性的机制。

我们在对EvilGnome的观察中发明了它与Gamaredon的一些关联性:

1.托管商雷同

EvilGnome运用的托管效劳商是Gamaredon多年来一向运用的。具体来说,EvilGnome的C2 IP地点(195.62.52.101)在两个月前理会的两个Gamaredon的域名——gamework.ddns.net和workan.ddns.net相干联:

用RiskIQ来映照gamework.ddns.net域的汗青,发明EvilGnome运转的IP地点两个月前由Gamaredon掌握。

2.基础设施类似

在研讨EvilGnome C2时,我们发明它经由历程端口3436供应SSH效劳。然后我们搜检了如今正在运转的三个Gamaredon Group C2效劳器上的3436端口,发明一个效劳器开启了这个端口的SSH效劳:

图4:EvilGnome C2和Gamaredon的rnbo-ua.ddns.net的端口3436上都供应SSH效劳

继承扫描,我们肯定了别的两个效劳器,其域名类似于Gamaredon域的定名情势(运用.space TTLD和ddns):

185.158.115.44  – > kotl.space

185.158.115.154  – > clsass.ddns.net

3.运用东西类似

Gamaredon不运用任何已知的Linux植入顺序,我们也很难对差别操纵体系间的东西举行比较,由于它们的开辟历程和请求可以不雷同,但我们可以从更高的条理上观察到它们的类似之处。EvilGnome采纳的手艺和模块,包括对SFX的运用,耐久化使命调理顺序和信息盗取东西,让我们想起了Gamaredon的Windows东西。鄙人一节中,我们将详细理会EvilGnome。

手艺理会

运用Makeself SFX举行布置

此植入顺序以自解压存档shell剧本(运用makeself建立)的情势供应。

makeself.sh是一个小型shell剧本,它能从目次天生一个可自解压的tar紧缩存档,天生的文件显现为一个shell剧本(大多都有.run后缀),而且可以按shell剧本启动。然后,存档文件将解压到暂时目次并实行恣意敕令(比方装置剧本)。这与Windows中运用WinZip自解压器天生的存档文件异常类似。

值得注意的是,操纵职员没有从天生的makeself SFX中删掉元数据。封装日期、开辟途径和东西的文件名都是公然的。我们可以观察到这个样本于7月4日建立:

如上图所示,makeself剧本在解包后运转./setup.sh。

依据makeself的选项,我们可以指导剧本在不实行的情况下解包:

存档包括四个文件:

· gnome-shell-ext- 特务代办可实行文件

· gnome-shell-ext.sh – 搜检gnome-shell-ext是不是已经在运转,假如没有则实行

· rtp.dat – gnome-shell-ext的设置文件

· setup.sh – 解包后由makeself运转的装置剧本

装置剧本将代办顺序装置到〜/ .cache / gnome-software / gnome-shell-extensions /,试图伪装成Gnome shell扩大。Gnome shell扩大许可调解Gnome桌面并增加功用。

耐久性是经由历程在crontab中每分钟运转一次gnome-shell-ext.sh来完成的。

末了,剧本实行gnome-shell-ext.sh,后者又启动中心可实行文件gnome-shell-ext:

针对Linux桌面用户的稀有特务软件EvilGnome

图7:setup.sh

特务代办

Intezer analysis对代办的理会显现此段代码之前未发明过:

图8:Intezer Analyze报告的特务代办样本

Asruex后门变种通过Office和Adobe漏洞感染word和PDF文档

研究人员早在2015年就发现了Asruex后门,而且与DarkHotel监控恶意软件有关联。研究人员最近在PDF文件中发现了Asruex,经过分析发现恶意软件变种通过CVE-2012-0158和CVE-2010-2883漏洞作为感染器来将代码注入word和PDF文件中。 使用老的已经修复的漏洞表明该变种的目标是Windows和Mac OS X系统上使用老版本Adobe Reader(versions 9.4之前版本)和Acrobat(v 8.2.5之前版本)的用户。 因为其独特的感染能力,

此文件中大批奇特的“基因”不是我们常在Linux文件中看到。特务代办是用C ++构建的,运用具有面向对象构造的类。二进制文件没有被剥离,这使我们可以明白标记和开辟职员的企图。

启动时,代办顺序将在新历程中运转,然后代办读取rtp.dat设置文件并将其直接加载到内存中:

针对Linux桌面用户的稀有特务软件EvilGnome

图9:从rtp.dat加载设置

我们在设置文件中标记了值得注意的字段:

针对Linux桌面用户的稀有特务软件EvilGnome

图10:设置理会

前四个字节是C2的IP地点的十六进制示意:

0x65343ec3  - > 0xc3.0x3e.0x34.0x65  - > 195.62.52.101

模块

特务代办包括五个名为“Shooter-”的模块:

· ShooterSound – 捕捉用户的麦克风音频并上传到C2

· ShooterImage – 捕捉截图并上传到C2

· ShooterFile – 扫描文件体系以查找新建立的文件,并将它们上传到C2

· ShooterPing – 从C2吸收新敕令

· ShooterKey – 未完成也未运用,很多是未完成的键盘纪录模块

每一个模块都在一个零丁的线程中运转,共享资源(比方设置)的接见由互斥锁庇护。

这些模块运用密钥“sdg62_AS.sa $ die3”加密他们的输出并运用RC5解密来自C2的数据,运用的是某俄罗斯开源库的修正版本:

在衔接失利,或许C2指导时,这些模块将其输出存储在~/ .cache / gnome-software / gnome-shell-extensions / tmp /:

我们如今将深入研讨这五个模块及其选项:

ShooterPing

ShooterPing模块处置惩罚从C2吸收的敕令:

针对Linux桌面用户的稀有特务软件EvilGnome

图14:C2敕令

包括:

· 下载并实行新文件

· 为文件扫描设置新过滤器

· 下载并设置新的运转时设置

· 将存储的输出传输到C2

· 住手shooter 模块运转

其他模块都以恒定距离运转,由个中一个设置参数定义。C2可以经由历程ShooterPing下载新参数来掌握此距离。

ShooterFile

ShooterFile模块运用挑选器列表扫描文件体系,同时疏忽特定文件和文件夹,如下图所示:

针对Linux桌面用户的稀有特务软件EvilGnome

图15:文件扫描过滤器

我们可以从filter_accepted_files列表中看到,代办的目标是盗取与文档相干的文件,但歹意软件没有运用该列表,表明还在开辟中。

ShooterAudio

ShooterAudio模块运用PulseAudio从用户的麦克风捕捉音频,运用的是rtp.dat的默许设置,模块每次迭代仅纪录80,000字节的音频大小,因而模块只能在短时间内记灌音频,如许模块起不了作用,除非C2设置更大的纪录尺寸。

ShooterImage

此模块翻开与XOrg显现效劳器的衔接,该效劳器是Gnome桌面的后端。它运用Cairo开源库来截取用户桌面的截图。

防备和回响反映

发起想要搜检是不是被感染的Linux用户搜检“~/ .cache / gnome-software / gnome-shell-extensions”目次中的“gnome-shell-ext”可实行文件是不是存在。 我们还基于代码重用手艺建立了一个自定义YARA划定规矩,用于检测EvilGnome的将来变体。

结论

EvilGnome是一种稀有的针对Linux桌面用户歹意软件。我们以为这是一个不成熟的测试版本,估计将来会涌现新版本伤害相干用户,这也可以会为该构造的走向带来更多启发。

本文翻译自:https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明针对Linux桌面用户的稀有特务软件EvilGnome
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址