Linux間諜軟件正在中國橫行

黑帽大會于2020年8月在線舉行，會議分為8個關(guān)鍵主題，這些主題下有很多講座。 今天，我將解釋一個關(guān)于我們國家的會議：Linux間諜軟件正在中國傳播。

中國5個非法組織使用Linux間諜軟件

這些組織都與Winnti供應(yīng)組有聯(lián)系，他們使用相同的Linux rootkit和后門組合。

Winnti ：中國的間諜組織

研究人員稱，一系列用于間諜活動的Linux后門惡意軟件，經(jīng)過動態(tài)編譯并可針對特定目標進行定制，目前正被五個不同的中國APT組織用作共享資源。

APT(Advanced Persistent Threat)組織：對特定對象展開的持續(xù)有效的攻擊活動的組織

根據(jù)“黑莓網(wǎng)”周三在2020黑帽大會發(fā)布的一份分析報告，這五個群體其實都是Winnti集團的分支。Winnti自2011年開始活躍，以高調(diào)的供應(yīng)鏈攻擊軟件行業(yè)而聞名，其目的是傳播木馬軟件(如CCleaner、華碩LiveUpdate和多個惡意視頻游戲)。

“黑莓網(wǎng)”發(fā)現(xiàn)，Linux工具集被用于一系列有針對性的攻擊。據(jù)該公司威脅情報主管凱文·利維利(Kevin Livelli)說，它包含六個不同的組件。在周三的會議上，他指出，這些工具從一個安裝程序bash腳本開始，該腳本壓縮在另一個shell腳本中，并配置在遠程構(gòu)建的服務(wù)器上。該構(gòu)建服務(wù)器(工具集中的第二項)為特定目標定制了一個惡意軟件包，如果安裝程序會將其下載給受害者。

此自定義惡意軟件負載由第三項和第四項組成：rootkit和后門，以及目標的安裝腳本。至于rootkit，黑莓的研究人員發(fā)現(xiàn)了兩個變種，都是為了配合相關(guān)的后門而設(shè)計的。

Livelli說：“我們看到它們是為不同的內(nèi)核版本量身定做的，有最新的命令和控制(C2)，我們知道舊的內(nèi)核版本仍在使用中，這反映了這樣一個事實：許多Linux系統(tǒng)管理員由于各種原因更新速度太慢。“我們發(fā)現(xiàn)了針對Red Hat Enterprise、CentOS和Debian的惡意軟件示例，但考慮到它們的自定義特性和動態(tài)組合，我們可以肯定還有其他惡意軟件存在?！?

C2：command and control

Livelli說，第五項是一個攻擊者控制面板，能夠同時管理Windows和Linux目標，有自己的圖形用戶界面。最后，第六項是Linux XOR DDoS僵尸網(wǎng)絡(luò)，它是已知最大的Linux僵尸網(wǎng)絡(luò)，于2015年首次被注意到。

至于C2活動，Livelli說，黑莓在其調(diào)查的受攻擊組織內(nèi)部觀察到硬編碼的網(wǎng)絡(luò)回調(diào)數(shù)據(jù)，這表明該組織在部署Linux網(wǎng)絡(luò)之前已經(jīng)在目標內(nèi)部建立了基礎(chǔ)設(shè)施。

Livelli說：“我們發(fā)現(xiàn)的所有Linux惡意軟件很有可能不是第一階段的惡意軟件，而是一種持久性工具，這些目標的危害要深得多，而且已經(jīng)建立得很好了?！薄拔覀冞€看到(C2)的合法云服務(wù)提供商基礎(chǔ)設(shè)施遭到濫用?！?

除了C2基礎(chǔ)設(shè)施和Linux網(wǎng)絡(luò)之外，值得注意的是，其他惡意軟件在觀察到的系統(tǒng)中存在。

“攻擊者幾乎總是以多個平臺為目標，這一次，我們發(fā)現(xiàn)同一組攻擊者控制了一些Android惡意軟件，而其他人則使用了一些Windows惡意軟件。我們在整個惡意軟件套件上找到了一個絕佳的有利位置，并提供了跨平臺進行間諜活動的有力證據(jù)?！?

Livelli說：“攻擊者花了很多時間來建立這個系統(tǒng)，在目標中站穩(wěn)腳，設(shè)計出了一種快速編譯復(fù)雜惡意軟件的方法，用于Linux發(fā)行版和內(nèi)核版本的多種組合，然后供受害者安裝?！?

Linux的隱蔽性

進一步的調(diào)查還顯示，Linux惡意軟件集可能已經(jīng)在網(wǎng)絡(luò)中生存了近10年。Livelli說，“Linux之所以能長久存在，一個原因是，當涉及到任何組織中那些掌握網(wǎng)絡(luò)防御資金的人時，Linux往往會躲在人們的身后。與Mac和Windows相比，Linux的產(chǎn)品有多深入?我敢打賭，一般來說，安全行業(yè)對無數(shù)Linux發(fā)行版和內(nèi)核組合的支持與對Windows的支持相比相形見絀。這只是經(jīng)濟上的問題，您需要在平臺背后提供工程、營銷和銷售工作，從而創(chuàng)造最大的需求?！?

他補充說，”Linux運行的服務(wù)器在構(gòu)成現(xiàn)代社會的政府機構(gòu)和企業(yè)中構(gòu)成了一個重要基礎(chǔ)設(shè)施的深層平臺。Linux不僅運行web服務(wù)器和數(shù)據(jù)庫服務(wù)器，還運行代理服務(wù)器、文件服務(wù)器、VPN服務(wù)器、證券交易所服務(wù)器，它嵌入物聯(lián)網(wǎng)，嵌入網(wǎng)絡(luò)家電，嵌入汽車。我不必向聽眾指出，運行Linux的web服務(wù)器非常適合隱藏大量的過濾數(shù)據(jù)?！?

01有話說

以前總是聽說國外黑客組織怎么怎么樣，直到Winnti組織出現(xiàn)，才明白網(wǎng)絡(luò)安全無國界，每個國家的暗處都隱藏著非法勢力。

Winnti組織開發(fā)了Linux工具集，六個組件分別是：bash腳本，遠程服務(wù)器，rootkit和后門，后門的安裝腳本，攻擊者控制面板，Linux XOR DDoS僵尸網(wǎng)絡(luò)。

和win，mac相比，linux的版本繁多，舊版本多年不更新，漏洞從未被彌補。且linux廣泛應(yīng)用于嵌入式開發(fā)，是天然的間諜平臺。

其實這些間諜軟件的本質(zhì)都是捆綁的木馬程序，只要我們保持警惕，不隨意從網(wǎng)站下載未知文件，就不會受此影響。