一种隐蔽的恶意软件正在感染泰国的电信和其他垂直行业的系统,在其代码首次出现在 VirusTotal 上后两年内一直处于低调状态。
攻击者可能与 XorDdos Linux 远程访问木马(RAT)的创建者捆绑在一起,近两年来一直在使用单独的 Linux RAT 而未被发现,使用它来瞄准泰国的组织并保持对受感染系统的恶意访问。
Group-IB的研究人员在12月7日发表的一篇博客文章中报告说,这种被称为Krasue的RAT以东南亚民间传说中的一种夜间土著精神命名,它使用多种隐蔽技术,包括使用嵌入七个编译版本的rootkit来支持各种版本的Linux内核。
RAT 的主要功能是保持对主机的访问,该 RAT 于2021年出现在 VirusTotal 上,但从未公开报道过。这意味着RAT很可能“要么作为僵尸网络的一部分部署,要么由初始访问经纪人出售给其他希望访问特定目标的网络犯罪分子。”Group-IB威胁情报团队恶意软件分析师Sharmine Low在博客文章中写道。
研究人员说,Krasue可能与XorDdos Linux木马由同一作者创建,或者至少可以访问相同的源代码。Microsoft在2014年发现了XorDdos,它已广泛用于针对云和物联网部署的攻击。
研究人员表示,RAT的一个独特之处在于使用实时流协议(RTSP)消息作为伪装的“活ping”,这种策略在野外很少见。RTSP 通常用于控制通过 IP 网络(例如视频流和视频监控系统)传输实时媒体流。
获得受 Krasue 感染系统的初始访问权限的方法尚不清楚,但可能的途径包括漏洞利用或凭据暴力破解。研究人员补充说,另一种(尽管可能性较小)初始访问可能是RAT作为欺骗性软件包或二进制文件的一部分(例如虚假产品更新)从恶意第三方来源下载的。
虽然Group-IB观察到RAT主要用于针对电信行业,但研究人员认为,其他垂直行业的组织也可能成为目标。一旦网络犯罪分子已经入侵了目标网络,Krasue 也有可能在攻击链的后期部署。
通过 Linux Rootkit 保持低调
研究人员说,鉴于其隐蔽特性的结合,Krasue RAT潜伏了两年而未被发现也就不足为奇了。其中一些技术在于 Krasue rootkit 的使用和功能,它是 Linux 内核模块(LKM)或可以在运行时动态加载到内核中的目标文件。
在受感染的系统上,rootkit 伪装成没有有效数字签名的 VMware 驱动程序。由于其作为 LKM 的性质,以 Linux 内核版本2.6x/3.10.x 为目标的 rootkit 扩展了内核的功能,而无需重新编译或修改整个内核源代码。此外,在初始化阶段,rootkit 会隐藏自己的存在,然后继续挂钩“kill()”系统调用、网络相关函数和文件列表操作,从而掩盖其活动。
Krasue 设法逃避检测的另一个原因是它使用 UPX 打包。研究人员表示,打包的恶意软件样本通常更难被安全解决方案检测到,而较旧的Linux服务器可能未部署端点检测保护(EDR)。
RAT 还通过守护自身、作为后台进程运行和忽略 SIGINT 信号来增强其规避功能,最后一个信号意味着当用户通过按 Ctrl-C 终止进程时,恶意软件不受发送的中断信号影响。
Krasue还具有掩盖其与命令和控制(C2)网络通信的功能,包括为其主C2使用九个硬编码IP地址,以及上述使用RTSP进行通信——这对于网络犯罪分子来说很少见。
“Krasue 最初总是会尝试连接到内部地址。”博客文章中写道:“只有在多次未回复并尝试连接到服务器后,它才会尝试连接128[.]199[.]226[.]11的554端口,这是通常用于 RTSP 的端口。这是值得注意的,因为虽然恶意软件开发人员通常会伪装网络流量,但为此目的使用RTSP端口的情况非常罕见。
Linux RAT 的安全建议
Group-IB向安全专业人员提出了一些建议,以提醒他们Krasue RAT的潜在感染。一种是要注意异常的RTSP流量,这可能会提醒系统上存在恶意软件。
研究人员还建议组织仅从受信任的官方来源下载软件和软件包,使用由其Linux发行版提供的信誉良好的存储库或经过验证的第三方来源,这些存储库在安全方面享有盛誉。
管理员还应该通过将 Linux 内核配置为仅加载已签名的模块来启用内核模块签名验证。确保只有来自可信来源的具有有效数字签名的模块才能加载。
管理员可以采取的其他安全措施来避免泄露,包括监控系统和网络日志(定期检查它们是否存在任何可疑活动),以及定期进行安全审计。
转自会杀毒的单反狗,原文链接https://mp.weixin.qq.com/s/TzQruqHrimGsDvjtpcaBAQ
封面来源于网络,如有侵权请联系删除