過往駭客的主要標的往往是Windows電腦,但隨著企業有許多應用系統採用Linux作業系統,不少駭客團體也針對這種作業系統開發相關工具。

例如,中國駭客Gelsemium原先使用惡意軟體Gelsevirine攻擊Windows電腦,但近期資安業者ESET看到名為WolfsBane的Linux變種版本。會有這樣的變化,研究人員認為,很有可能是Windows端點防護已有所改進,使得駭客轉向可透過網際網路存取的應用系統,而這些系統大多以Linux建置。

這些惡意程式之所以曝光,源於惡意程式分析平臺VirusTotal,去年收到從臺灣、菲律賓、新加坡上傳的WolfsBane,由於Gelsemium原先的主要攻擊目標,是東亞與中東的企業組織,這樣的情況相當不尋常。

這個後門程式的攻擊鏈,主要是從惡意程式載入工具(Dropper)開始,執行後門程式WolfsBane,這樣的做法與Windows版後門程式Gelsevirine雷同。值得一提的是,駭客也運用修改過的Userland Rookit,這麼一來,攻擊者就有機會藉此隱匿行蹤。

他們也看到Gelsemium使用的另一個後門程式FireWood,這個後門也是從Windows版衍生而來,但似乎與這些駭客無直接關聯。研究人員推測,Gelsemium很有可能與多個中國駭客組織共用此後門程式。

究竟這些駭客如何入侵受害組織?研究人員表示尚缺乏相關證據能夠證明,但根據這些駭客過往的戰略、手段、流程(TTP),他們認為,駭客很有可能透過未知的網頁應用程式漏洞,取得伺服器的存取權限。

接著,攻擊者將偽裝成工作排程公用工具cron的惡意程式載入工具執行,一旦啟動,就會建立隱藏資料夾$HOME/.Xl1,並埋入惡意軟體啟動工具(Launcher)及後門程式。而這個資料夾名稱,顯然是模仿X Window系統的名稱「X11」。

攻擊者將以root權限執行惡意軟體啟動工具,停用SELinux防護機制,竄改系統配置以便維持在受害主機活動。

完成後攻擊就會進入下個階段,執行惡意軟體啟動工具,駭客將其偽裝成桌面環境KDE的元件來掩人耳目。

最後,就是正式啟動後門程式的有效酬載。此後門程式的執行過程,先是載入嵌入的程式庫libMainPlugin.so,然後利用另外兩個程式庫libUdp.so、libHttps.so建立網路通訊,然後從C2接收命令。

研究人員指出,這批Linux作案工具,代表Gelsemium攻擊目標出現變化,而這個駭客組織並非唯一這麼做的網路罪犯,因為,研究人員發現,惡意軟體轉移到Linux平臺的情況,有逐漸上升的趨勢。

如果怕主機有漏洞被攻擊,來了解一下MSSP資安託管吧

文章來源