
ماشینهای مبتنی بر Linux، هدف بدافزار پیچیده Auto-Color
شرکت پالو آلتو نتورکس (Palo Alto Networks)، جزییات بدافزاری پیچیده با نام Auto-Color را منتشر کرده که ماشینهای با سیستم عامل Linux را هدف قرار میدهد.
این بدافزار، بهطور خاص بهمنظور ایجاد دسترسی مخفی طراحی شده است و از تکنیکهای پیشرفته برای مخفی ماندن و اجرای فرامین از راه دور استفاده میکند.
بهنظر میرسد Auto-Color در حملات به سیستمهای مبتنی بر Linux در مراکزی در آمریکا و آسیا مورد استفاده قرار گرفته است.
ویژگیهای کلیدی بدافزار Auto-Color
Auto-Color، بهعنوان یک دربپشتی (Backdoor)، امکان دسترسی دائم و مخفی به سیستمهای آلوده را برای مهاجم فراهم میکند. ویژگیهای اصلی این بدافزار عبارتند از:
- اجرای مخفیانه: بدافزار، از تکنیکهای پنهانسازی (Obfuscation) پیشرفتهای برای جلوگیری از شناسایی استفاده میکند. یکی از این تکنیکها استفاده از نامهای آشنا و تداعیکننده فایلهای معتبر برای فایلهای اجرایی خود است.
- تکنیکهای جلوگیری از شناسایی: Auto-Color با بهرهگیری از تکنیکهایی مانند پنهان کردن ارتباطات شبکهای از طریق دستدرازی به فایلهای سیستمی مانند /proc/net/tcp که نمونهای از آن، در زیر نمایش داده شده است تلاش میکند تا ترافیک شبکهای و ارتباطات با سرورهای فرماندهی (C2) از دید ابزارهای نظارتی و امنیتی مخفی بماند.
روشهای پنهانسازی
Auto-Color از کتابخانه مخربی با نام libcext.so.2 که بعدتر با نام auto-color در مسیر /var/log/cross/ کپی میشود بهمنظور پنهانسازی عملیات خود استفاده میکند. این کتابخانه میتواند تغییراتی در رفتار سیستم جهت پنهان ماندن از دید ابزارهای امنیتی اعمال کند. یکی از اقداماتی که این بدافزار انجام میدهد، مخفی کردن ترافیک شبکهای است تا ارتباطات با سرورهای C2 کاملاً غیرقابل شناسایی باشد.
ماندگاری بر روی سیستم
این بدافزار، با کنترل فایلهای سیستمی ویژهای مانند /etc/ld.preload تلاش میکند تا کتابخانههای مخرب خود را در سیستم بارگذاری کند. این فرآیند اجازه میدهد که بدافزار هر بار که سیستم راهاندازی میشود، بهطور خودکار، بارگذاری شده و در پسزمینه اجرا گردد.
الگوی ارتباطی با سرور فرماندهی
یکی از ویژگیهای جالب توجه Auto-Color، این است که ارتباطات با سرور C2 آن بهگونهای طراحی شدهاند که تشخیص مخرب بودن آنها به سختی انجام شود. بدافزار از پروتکلهایی استفاده میکند که احتمال شناسایی آن را کاهش میدهد و در عین حال قادر به ارسال دستورات بهصورت از راه دور به سیستم آلوده و دریافت دادههای جمعآوریشده است.
هدف نهایی
هدف اصلی Auto-Color بدست آوردن دسترسی به سیستمهای تحت Linux و جمعآوری اطلاعات حساس بر روی آنها است. این دسترسی به مهاجم این امکان را میدهد که کنترل کامل سیستمهای آلوده را بهدست گیرد و از آنها برای اهداف مختلف مانند حمله به ماشینها/شبکههای دیگر یا سرقت دادهها استفاده کند. همچنین، بهدلیل تکنیکهای پنهانسازی پیشرفته، شناسایی و مقابله با این بدافزار برای سازمانها و تیمهای امنیتی دشوار است.
مشروح گزارش شرکت پالو آلتو نتورکس در خصوص Auto-Color و نشانههای آلودگی (IoC) این بدافزار در لینک زیر قابلمطالعه است:
https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color