资安公司发现瞄准Linux桌面使用者的后门程式EvilGnome

发布于2019-07-21 09:50:27

导读: 资安公司IntezerLabs研究人员发现一种新的Linux恶意软件EvilGnome,其瞄准的对象是Linux桌面使用者,EvilGnome会伪装Gnome壳层扩充,但实际上为Linux

资安公司Intezer Labs研究人员发现一种新的Linux恶意软件EvilGnome,其瞄准的对象是Linux桌面使用者,EvilGnome会伪装Gnome壳层扩充,但实际上为Linux后门植入程式,偷偷地上传屏幕截图或是文件等私密资料,目前主要的安全解决方案都无法侦测到EvilGnome,研究人员提到,这个恶意软件可能与俄国的APT(Advanced Persistent Threat)攻击集团Gamaredon有关。

这个恶意软件的特殊之处在于瞄准的族群,是Linux的桌面使用者,研究人员提到,过去在Linux上发现的恶意程式,通常是加密矿工或是DDoS僵尸网络工具等,这类瞄准服务器的攻击工具,毕竟Linux服务器占总Linux使用组成的70%,而桌面操作系统仅只有2%。

EvilGnome会伪装成知名桌面环境GNOME的扩充,进行桌面截图、窃取文件,并从麦克风撷取录音,还能自行下载其他模组扩充功能。EvilGnome带有5个模组,ShooterSound模组会撷取使用者麦克风声音,ShooterImage模组则会撷取屏幕截图,而ShooterFile模组负责扫描档案系统中的新档案,这些模组收集到的档案,都会被上传到指挥与控制服务器(C2),另外还有ShooterPing模组能接受新命令,每个模组都使用独立的执行绪运作。

这些模组与C2服务器间资料传输,都会加密以躲避基本的流量扫描。研究人员提到,这个被上传到网络安全分析服务VirusTotal上(下图)的后门植入程式,感觉是一个测试版,因为其中包含了未完成的键盘侧录模组ShooterKey,以及程式注解以及编译元资料,而这些元资料通常不应该出现在正式生产版本中。

研究人员还发现,EvilGnome与俄罗斯骇客集团Gamaredon有关,EvilGnome使用的主机供应商与Gamaredon一直以来使用的相同,EvilGnome的C2服务器的IP位置,与Gamaredon使用的域名相关联,而在基础设施上,EvilGnome的C2服务器使用连接埠3436提供SSH服务,而Gamaredon正在运作的C2服务器,也使用连接埠3436提供SSH服务。

由于Gamaredon习惯不使用任何已被发现的Linux植入程式,因此研究人员也无从进行直接的比对,因此只能从这些较高阶的特征判断观察。Gamaredon从2013年来一直就非常活跃,专针对与乌克兰-相关的人进行攻击,会使用恶意附件感染受害者,而Gamaredon的植入程式的特性,包括使用资讯窃取工具SFX,偷取屏幕截图或是文件,这项特性也有在EvilGnome上被发现。

Intezer Labs建议用户可以检查~/.cache/gnome-software/gnome-shell-extensions目录,看是否存在名为gnome-shell-ext的可执行档,以确认是否遭到感染,Intezer Labs也创建了自定义的YARA规则,供用户检测EvilGnome未来的变体。

相关文章