俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

時間:2019-07-23
俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

眾所周知,與Windows病毒相比,Linux病毒是相對少見的,這主要是因為全球的Windows用戶要比Linux用戶多得多。攻擊者為了追求利益最大化,顯然會更多地傾向於攻擊Windows用戶。

然而,隨著近年來各種大大小小嚴重威脅到Linux系統和軟件安全的漏洞被披露,一些網絡黑客對於攻擊Linux用戶的熱情似乎也因此被點燃了。

其中,最為常見的就是利用受感染的Linux服務器來進行加密貨幣挖礦,以及通過劫持易受攻擊的Linux服務器來創建殭屍網絡,用於發起大規模DDoS攻擊。

本月初,Intezer Labs的研究人員就發現了一種全新的Linux病毒,雖然目前似乎仍處於開發測試階段,但它所包含的幾個惡意模塊已經被證實能夠用來監視Linux桌面版用戶。

EvilGnome:一種全新的Linux間諜軟件

Intezer Labs的研究人員將這種病毒命名為“EvilGnome”,因為它在傳播過程中偽裝成Gnome插件,Gnome是Linux操作系統上最常用的圖形桌面環境之一。

研究人員表示,這個病毒樣本是他們在VirusTotal(一個提供免費的可疑文件分析服務的網站)上發現的,包含在源代碼中大量的註釋、元數據以及尚未完成的鍵盤記錄功能表明,它是一個測試版本。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

儘管如此,EvilGnome仍被證實是一種徹徹底底的間諜軟件,具備包括桌面截圖、文件竊取、從麥克風獲取錄音以及下載和執行其他模塊等多種多樣的功能。

疑似與黑客組織Gamaredon存在關聯

Gamaredon,是一個據稱來自俄羅斯的黑客組織,自2013年以來一直活躍,主要攻擊目標是與烏克蘭政府存在可能關聯的個人。

Gamaredon主要通過發送魚叉式網絡釣魚電子郵件來分發屏幕截圖和文件竊取工具,惡意附件通常是SFX格式的壓縮文件。為了保證病毒能夠在受感染服務器上長久存活,通常還會利用到計劃任務(crontab)程序。

通過調查,研究人員發現EvilGnome幕後操縱者與Gamaredon似乎存在一些比較明顯的關聯:

關聯一:託管服務提供商

EvilGnome幕後操縱者使用的C2服務器被證實早已被Gamaredon組織使用了多年,並仍在繼續使用。

更具體地說,反向解析EvilGnome的C2服務器IP地址(195[.]62[.]52[.]101),可以發現兩個域名:gamework.ddns.net和workan.ddns.net,而這兩個域名都曾被Gamaredon組織使用過。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

關聯二:基礎設施

在調查EvilGnome的C2服務器時,研究人員發現它通過端口3436提供SSH服務。

隨後,研究人員檢查了三個Gamaredon組織目前正在使用的三臺服務器上的3436端口,發現其中一臺服務器打開了這個端口,並處於提供SSH服務中:

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

關聯三:工具

如上所述,EvilGnome是一種信息竊取工具,主要通過SFX格式的壓縮文件傳播,並藉助計劃任務程序來保證自己在受感染服務器上的存活,這些特徵都與Gamaredon組織此前使用過的Windows病毒非常相似。

針對EvilGnome病毒的全面分析

1.通過Makeself SFX壓縮文件傳播

研究人員表示,攻擊者使用Makeself(“makeself.sh”是一個很小的shell腳本,生成的壓縮文件能夠自動運行)來將EvilGnome壓縮成為SFX格式的文件。

可能因為是一個測試版本的緣故,惡意SFX文件居然暴露了壓縮日期、開發路徑以及工具名稱等信息。在下圖中我們可以很清楚地看到,惡意SFX文件創建於7月4日星期四。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

惡意SFX文件包含有4個文件:

  • gnome-shell-ext——間諜代理可執行文件
  • gnome-shell-ext.sh——檢查gnome-shell-ext是否已經在運行,如果沒有,則執行它
  • rtp.dat ——gnome-shell-ext的配置文件
  • setup.sh ——解壓縮後由makeself運行的安裝腳本

首先, setup.sh會將gnome-shell-ext安裝到“ ~/.cache/gnome-software/gnome-shell-extensions/”,以試圖偽裝成Gnome shell插件(Gnome shell插件允許用戶調整Gnome桌面並添加功能,在功能上與瀏覽器插件類似)。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

然後,通過在計劃任務中設置每分鐘運行一次gnome-shell-ext.sh ,EvilGnome就能夠保證自身能夠在受感染服務器上長久存活。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

最後,gnome-shell-ext.sh的執行將啟動主可執行文件gnome-shell-ext。

2.間諜代理

間諜代理是使用C++構建的,在啟動時會在新進程中運行。然後,它將讀取rtp.dat 配置文件,並將其直接加載到內存中:

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

研究人員表示,rtp.dat暴露了大量有關EvilGnome幕後操縱者的信息,如下圖所示:

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

比如,前四個字節就是十六進制形式的C2服務器IP地址:

0x65343ec3 -> 0xc3.0x3e.0x34.0x65 -> 195[.]62[.]52[.]101

3.模塊

間諜代理包含了5個以“Shooter”開頭命名的模塊:

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

  • ShooterAudio——從麥克風獲取錄音並上傳到C2 服務器
  • ShooterImage ——桌面截圖並上傳到C2 服務器
  • ShooterFile——掃描文件系統以查找新創建的文件並將其上傳到C2 服務器
  • ShooterPing——從C2服務器接收新命令
  • ShooterKey ——尚未實現或未啟用,很可能是尚未完成的鍵盤記錄模塊

每個模塊都在一個單獨的線程中運行,並使用密鑰“sdg62_AS.sa$die3”來加密它們的輸出,以及使用RC5庫來解密來自C2服務器的數據。

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

如果沒有能夠與C2服務器建立起連接,或者C2服務器指示,這些模塊則會將其輸出存儲在“~/.cache/gnome-software/gnome-shell-extensions/tmp/”:

俄羅斯黑客組織Gamaredon再出手?利用新型Linux病毒開展間諜活動

EvilGnome該如何檢測?

想要驗證自己的Linux服務器是否已經遭到了EvilGnome的感染,我們建議用戶檢查“~/.cache/gnome-software/gnome-shell-extensions”目錄中是否存在“gnome-shell-ext”可執行文件。如果存在,則說明已經中招了。

此外,基於對EvilGnome源代碼的研究,Intezer Labs的研究人員還創建了一段自定義YARA規則,可以用來檢測今後可能出現的EvilGnome的變種。

相關推薦

旋风视频高清影院
高清大片抢先观看, 巨量影视资源免费全家看!


利用Agent Tesla在全球開展間諜活動,SWEED黑客組織攻擊手法揭祕

最近以來,思科Talos團隊發現了大量到目前為止仍正在持續進行中的惡意軟件分發活動。這些活動被指與一個名為“SWEED”的黑客組織有關。

科技 12評論

2019-07-19









資訊|俄羅斯黑客組織圖拉對伊朗發動攻擊

18個月的網絡戰爭以快速發展的工具包為特點政府有關威脅組織在攻擊中東政府基礎設施時遭到一些不太友好的攻擊,開始了一場網絡混戰。

國際 53評論

2019-06-29