近日来自 ESET 的研究人员发现了一个恶意软件,该恶意软件一直在通过合规的 Linux 实用程序来感染 Linux 系统。该恶意软件被称为 FontOnLake,得益于该恶意软件的先进设计,以及不断升级新的功能,使其能够在受感染的系统上持续保持活跃状态。
FontOnLake 有多个模块,它们相互作用,并能与恶意软件的操作者进行通信来窃取敏感数据,并在系统中保持隐蔽。
ESET 的研究人员发现了多个上传到 VirusTotal 扫描服务的恶意软件样本,其中最早的样本出现在 2020 年 5 月。
ESET 的恶意软件分析师和反向工程师 Vladislav Hrčka 表示:"为了收集数据或进行其他恶意活动,所有的木马程序都是合规的 Linux 实用程序,以加载进一步的组件。事实上,为了掩盖其存在,FontOnLake 的存在总是伴随着一个 rootkit,并且还可以作为一种持久性机制,因为它们通常在系统启动时执行。"
也就是说,这些木马程序很可能在源代码层面上被修改过,这表明攻击者对它们进行了编译并替换了原来的程序。除了携带恶意软件,这些修改后的实用程序的作用还包括加载额外的有效载荷、收集信息,以及执行其他恶意行为。
FontOnLake 的 工具 集包括三个组件,它们由合规的 Linux 实用程序的木马化版本组成、用于加载内核模式的 rootkit 和后门,所有这些都使用虚拟文件相互通信。基于 C++ 所编写的自定义后门被设计用来监视系统,在网络上秘密执行命令并渗出账户凭证。它们还使用自定义 heartbeat 命令来保持与控制服务器的连接。
目前还不知道攻击者如何获得网络的初始访问权,但研究人员指出,攻击者十分谨慎,通过依靠不同的、独特的命令和控制(C2)服务器与不同的非标准端口来避免留下任何痕迹。研究人员认为,FontOnLake 的作者精通网络安全,目前已停用了 VirusTotal 所观察到的所有 C2 服务器。
猜你喜欢:
