Linux間諜軟件正在中國(guó)橫行

黑帽大會(huì)于2020年8月在線舉行，會(huì)議分為8個(gè)關(guān)鍵主題，這些主題下有很多講座。 今天，我將解釋一個(gè)關(guān)于我們國(guó)家的會(huì)議：Linux間諜軟件正在中國(guó)傳播。

中國(guó)5個(gè)非法組織使用Linux間諜軟件

這些組織都與Winnti供應(yīng)組有聯(lián)系，他們使用相同的Linux rootkit和后門組合。

Winnti ：中國(guó)的間諜組織

研究人員稱，一系列用于間諜活動(dòng)的Linux后門惡意軟件，經(jīng)過(guò)動(dòng)態(tài)編譯并可針對(duì)特定目標(biāo)進(jìn)行定制，目前正被五個(gè)不同的中國(guó)APT組織用作共享資源。

APT(Advanced Persistent Threat)組織：對(duì)特定對(duì)象展開(kāi)的持續(xù)有效的攻擊活動(dòng)的組織

根據(jù)“黑莓網(wǎng)”周三在2020黑帽大會(huì)發(fā)布的一份分析報(bào)告，這五個(gè)群體其實(shí)都是Winnti集團(tuán)的分支。Winnti自2011年開(kāi)始活躍，以高調(diào)的供應(yīng)鏈攻擊軟件行業(yè)而聞名，其目的是傳播木馬軟件(如CCleaner、華碩LiveUpdate和多個(gè)惡意視頻游戲)。

“黑莓網(wǎng)”發(fā)現(xiàn)，Linux工具集被用于一系列有針對(duì)性的攻擊。據(jù)該公司威脅情報(bào)主管凱文·利維利(Kevin Livelli)說(shuō)，它包含六個(gè)不同的組件。在周三的會(huì)議上，他指出，這些工具從一個(gè)安裝程序bash腳本開(kāi)始，該腳本壓縮在另一個(gè)shell腳本中，并配置在遠(yuǎn)程構(gòu)建的服務(wù)器上。該構(gòu)建服務(wù)器(工具集中的第二項(xiàng))為特定目標(biāo)定制了一個(gè)惡意軟件包，如果安裝程序會(huì)將其下載給受害者。

此自定義惡意軟件負(fù)載由第三項(xiàng)和第四項(xiàng)組成：rootkit和后門，以及目標(biāo)的安裝腳本。至于rootkit，黑莓的研究人員發(fā)現(xiàn)了兩個(gè)變種，都是為了配合相關(guān)的后門而設(shè)計(jì)的。

Livelli說(shuō)：“我們看到它們是為不同的內(nèi)核版本量身定做的，有最新的命令和控制(C2)，我們知道舊的內(nèi)核版本仍在使用中，這反映了這樣一個(gè)事實(shí)：許多Linux系統(tǒng)管理員由于各種原因更新速度太慢?！拔覀儼l(fā)現(xiàn)了針對(duì)Red Hat Enterprise、CentOS和Debian的惡意軟件示例，但考慮到它們的自定義特性和動(dòng)態(tài)組合，我們可以肯定還有其他惡意軟件存在。”

C2：command and control

Livelli說(shuō)，第五項(xiàng)是一個(gè)攻擊者控制面板，能夠同時(shí)管理Windows和Linux目標(biāo)，有自己的圖形用戶界面。最后，第六項(xiàng)是Linux XOR DDoS僵尸網(wǎng)絡(luò)，它是已知最大的Linux僵尸網(wǎng)絡(luò)，于2015年首次被注意到。

至于C2活動(dòng)，Livelli說(shuō)，黑莓在其調(diào)查的受攻擊組織內(nèi)部觀察到硬編碼的網(wǎng)絡(luò)回調(diào)數(shù)據(jù)，這表明該組織在部署Linux網(wǎng)絡(luò)之前已經(jīng)在目標(biāo)內(nèi)部建立了基礎(chǔ)設(shè)施。

Livelli說(shuō)：“我們發(fā)現(xiàn)的所有Linux惡意軟件很有可能不是第一階段的惡意軟件，而是一種持久性工具，這些目標(biāo)的危害要深得多，而且已經(jīng)建立得很好了?！薄拔覀冞€看到(C2)的合法云服務(wù)提供商基礎(chǔ)設(shè)施遭到濫用?！?

除了C2基礎(chǔ)設(shè)施和Linux網(wǎng)絡(luò)之外，值得注意的是，其他惡意軟件在觀察到的系統(tǒng)中存在。

“攻擊者幾乎總是以多個(gè)平臺(tái)為目標(biāo)，這一次，我們發(fā)現(xiàn)同一組攻擊者控制了一些Android惡意軟件，而其他人則使用了一些Windows惡意軟件。我們?cè)谡麄€(gè)惡意軟件套件上找到了一個(gè)絕佳的有利位置，并提供了跨平臺(tái)進(jìn)行間諜活動(dòng)的有力證據(jù)?！?

Livelli說(shuō)：“攻擊者花了很多時(shí)間來(lái)建立這個(gè)系統(tǒng)，在目標(biāo)中站穩(wěn)腳，設(shè)計(jì)出了一種快速編譯復(fù)雜惡意軟件的方法，用于Linux發(fā)行版和內(nèi)核版本的多種組合，然后供受害者安裝?！?

Linux的隱蔽性

進(jìn)一步的調(diào)查還顯示，Linux惡意軟件集可能已經(jīng)在網(wǎng)絡(luò)中生存了近10年。Livelli說(shuō)，“Linux之所以能長(zhǎng)久存在，一個(gè)原因是，當(dāng)涉及到任何組織中那些掌握網(wǎng)絡(luò)防御資金的人時(shí)，Linux往往會(huì)躲在人們的身后。與Mac和Windows相比，Linux的產(chǎn)品有多深入?我敢打賭，一般來(lái)說(shuō)，安全行業(yè)對(duì)無(wú)數(shù)Linux發(fā)行版和內(nèi)核組合的支持與對(duì)Windows的支持相比相形見(jiàn)絀。這只是經(jīng)濟(jì)上的問(wèn)題，您需要在平臺(tái)背后提供工程、營(yíng)銷和銷售工作，從而創(chuàng)造最大的需求。”

他補(bǔ)充說(shuō)，”Linux運(yùn)行的服務(wù)器在構(gòu)成現(xiàn)代社會(huì)的政府機(jī)構(gòu)和企業(yè)中構(gòu)成了一個(gè)重要基礎(chǔ)設(shè)施的深層平臺(tái)。Linux不僅運(yùn)行web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，還運(yùn)行代理服務(wù)器、文件服務(wù)器、VPN服務(wù)器、證券交易所服務(wù)器，它嵌入物聯(lián)網(wǎng)，嵌入網(wǎng)絡(luò)家電，嵌入汽車。我不必向聽(tīng)眾指出，運(yùn)行Linux的web服務(wù)器非常適合隱藏大量的過(guò)濾數(shù)據(jù)。“

01有話說(shuō)

以前總是聽(tīng)說(shuō)國(guó)外黑客組織怎么怎么樣，直到Winnti組織出現(xiàn)，才明白網(wǎng)絡(luò)安全無(wú)國(guó)界，每個(gè)國(guó)家的暗處都隱藏著非法勢(shì)力。

Winnti組織開(kāi)發(fā)了Linux工具集，六個(gè)組件分別是：bash腳本，遠(yuǎn)程服務(wù)器，rootkit和后門，后門的安裝腳本，攻擊者控制面板，Linux XOR DDoS僵尸網(wǎng)絡(luò)。

和win，mac相比，linux的版本繁多，舊版本多年不更新，漏洞從未被彌補(bǔ)。且linux廣泛應(yīng)用于嵌入式開(kāi)發(fā)，是天然的間諜平臺(tái)。

其實(shí)這些間諜軟件的本質(zhì)都是捆綁的木馬程序，只要我們保持警惕，不隨意從網(wǎng)站下載未知文件，就不會(huì)受此影響。