Linux间谍软件正在中国横行
扫描二维码
随时随地手机看文章
黑帽大会于2020年8月在线举行,会议分为8个关键主题,这些主题下有很多讲座。 今天,我将解释一个关于我们国家的会议:Linux间谍软件正在中国传播。
中国5个非法组织使用Linux间谍软件
这些组织都与Winnti供应组有联系,他们使用相同的Linux rootkit和后门组合。
Winnti :中国的间谍组织
研究人员称,一系列用于间谍活动的Linux后门恶意软件,经过动态编译并可针对特定目标进行定制,目前正被五个不同的中国APT组织用作共享资源。
APT(Advanced Persistent Threat)组织:对特定对象展开的持续有效的攻击活动的组织
根据“黑莓网”周三在2020黑帽大会发布的一份分析报告,这五个群体其实都是Winnti集团的分支。Winnti自2011年开始活跃,以高调的供应链攻击软件行业而闻名,其目的是传播木马软件(如CCleaner、华硕LiveUpdate和多个恶意视频游戏)。
“黑莓网”发现,Linux工具集被用于一系列有针对性的攻击。据该公司威胁情报主管凯文·利维利(Kevin Livelli)说,它包含六个不同的组件。在周三的会议上,他指出,这些工具从一个安装程序bash脚本开始,该脚本压缩在另一个shell脚本中,并配置在远程构建的服务器上。该构建服务器(工具集中的第二项)为特定目标定制了一个恶意软件包,如果安装程序会将其下载给受害者。
此自定义恶意软件负载由第三项和第四项组成:rootkit和后门,以及目标的安装脚本。至于rootkit,黑莓的研究人员发现了两个变种,都是为了配合相关的后门而设计的。
Livelli说:“我们看到它们是为不同的内核版本量身定做的,有最新的命令和控制(C2),我们知道旧的内核版本仍在使用中,这反映了这样一个事实:许多Linux系统管理员由于各种原因更新速度太慢。“我们发现了针对Red Hat Enterprise、CentOS和Debian的恶意软件示例,但考虑到它们的自定义特性和动态组合,我们可以肯定还有其他恶意软件存在。”
C2:command and control
Livelli说,第五项是一个攻击者控制面板,能够同时管理Windows和Linux目标,有自己的图形用户界面。最后,第六项是Linux XOR DDoS僵尸网络,它是已知最大的Linux僵尸网络,于2015年首次被注意到。
至于C2活动,Livelli说,黑莓在其调查的受攻击组织内部观察到硬编码的网络回调数据,这表明该组织在部署Linux网络之前已经在目标内部建立了基础设施。
Livelli说:“我们发现的所有Linux恶意软件很有可能不是第一阶段的恶意软件,而是一种持久性工具,这些目标的危害要深得多,而且已经建立得很好了。”“我们还看到(C2)的合法云服务提供商基础设施遭到滥用。”
除了C2基础设施和Linux网络之外,值得注意的是,其他恶意软件在观察到的系统中存在。
“攻击者几乎总是以多个平台为目标,这一次,我们发现同一组攻击者控制了一些Android恶意软件,而其他人则使用了一些Windows恶意软件。我们在整个恶意软件套件上找到了一个绝佳的有利位置,并提供了跨平台进行间谍活动的有力证据。”
Livelli说:“攻击者花了很多时间来建立这个系统,在目标中站稳脚,设计出了一种快速编译复杂恶意软件的方法,用于Linux发行版和内核版本的多种组合,然后供受害者安装。”
Linux的隐蔽性
进一步的调查还显示,Linux恶意软件集可能已经在网络中生存了近10年。Livelli说,“Linux之所以能长久存在,一个原因是,当涉及到任何组织中那些掌握网络防御资金的人时,Linux往往会躲在人们的身后。与Mac和Windows相比,Linux的产品有多深入?我敢打赌,一般来说,安全行业对无数Linux发行版和内核组合的支持与对Windows的支持相比相形见绌。这只是经济上的问题,您需要在平台背后提供工程、营销和销售工作,从而创造最大的需求。”
他补充说,”Linux运行的服务器在构成现代社会的政府机构和企业中构成了一个重要基础设施的深层平台。Linux不仅运行web服务器和数据库服务器,还运行代理服务器、文件服务器、VPN服务器、证券交易所服务器,它嵌入物联网,嵌入网络家电,嵌入汽车。我不必向听众指出,运行Linux的web服务器非常适合隐藏大量的过滤数据。“
01有话说
以前总是听说国外黑客组织怎么怎么样,直到Winnti组织出现,才明白网络安全无国界,每个国家的暗处都隐藏着非法势力。
Winnti组织开发了Linux工具集,六个组件分别是:bash脚本,远程服务器,rootkit和后门,后门的安装脚本,攻击者控制面板,Linux XOR DDoS僵尸网络。
和win,mac相比,linux的版本繁多,旧版本多年不更新,漏洞从未被弥补。且linux广泛应用于嵌入式开发,是天然的间谍平台。
其实这些间谍软件的本质都是捆绑的木马程序,只要我们保持警惕,不随意从网站下载未知文件,就不会受此影响。
下载文档
