Ново поколение Linux руткитове: Технически анализ на WolfsBane и FireWood
Открита е нова задна малка врата за Linux, наречена WolfsBane, за която откривателите считат, че е порт на злотворен програмен продукт за Windows, употребен преди този момент от китайската хакерска формация Gelsemium. Анализът разкрива, че WolfsBane е комплициран инструмент, който включва дропър, даунлоуд и backdoor и употребява модифициран руткит с отворен код, с цел да заобиколи откриването.
Освен това е разпознат различен пример на злотворен програмен продукт за Linux, наименуван FireWood, който е обвързван с сходен злотворен програмен продукт за Windows, прочут като Project Wood. FireWood евентуално е общ инструмент, употребен от няколко китайски APT групи, а не извънредна разработка на Gelsemium.
Експертите означават възходящия интерес на хакерските групировки към Linux системите на фона на по-силната отбрана на Windows. Такива промени са свързани с по-честото потребление на принадлежности за отбрана на крайни точки и деактивиране на осъществяването на VBA скриптове по дифолт. Това принуждава нападателите да търсят нови пътища за офанзива, в това число и потребление на уязвимости в Linux-базирани системи.
WolfsBane се доставя на целевите системи посредством дропър, наименуван „ cron “, който се маскира като съставен елемент на работния плот на KDE.
В взаимозависимост от равнището на привилегиите дроперът деактивира SELinux, трансформира конфигурационните файлове на системата или основава служебни файлове, с цел да обезпечи резистентност. След това се започва loader, който задейства съставния елемент на зловредния програмен продукт, като зарежда три криптирани библиотеки с съществена функционалност и настройка за връзка със сървъра за ръководство.
За потайност се употребява модифициран руткит BEURK, който се инжектира посредством файла „ /etc/ld.so.preload “ и обезпечава скриване на процеси, файлове и мрежов трафик. Основните задания на WolfsBane включват осъществяване на команди от контролния сървър, което разрешава на нападателите да правят интервенции с файлове, да извеждат данни и да управляват системата.
FireWood, въпреки и по-малко обвързван с Gelsemium също е мощен инструмент за дълготрайни шпионски акции. Той дава на операторите опция за осъществяване на команди, файлови интервенции, зареждане и разтоварване на библиотеки и скриване на процеси благодарение на руткит. За да се задейства автоматизираното пускане, FireWood основава файл в досието „.config/autostart/ “ с команди, които да се извършват при пускане на системата.
И двата образеца на злотворен програмен продукт показват напъните на APT групите да разширят интервенциите си върху Linux платформи. Подробен лист на знаците за компрометиране, свързани с тези акции е разполагаем в GitHub.
