駭客開發Linux惡意程式的情況,最近兩年越來越頻繁,其中又以針對VMware虛擬化平臺而來的勒索軟體較為常見,但如今,有人運用這方面的技術、鎖定特定廠牌的防火牆系統打造惡意軟體。
英國國家網路安全中心(NCSC)近日揭露名為Pygmy Goat的後門程式,他們在Sophos XG防火牆設備找到這支惡意軟體,此為32位元x86的ELF共用物件檔案,攻擊者設置LD_PRELOAD環境變數,從而透過SSH daemon(sshd)二進位檔案載入。
巧合的是,10月底Sophos才發布名為Pacific Rim的調查報告,指出該公司針對中國駭客近5年專門對邊界網路裝置發動攻擊進行追蹤,其中一種被鎖定的裝置就是該廠牌的防火牆。這樣的情況,不禁讓人聯想到中國駭客。
雖然NCSC並未透露使用Pygmy Goat從事攻擊行動的人士身分,但提及該惡意程式與另一支名為Castletap具備類似的戰術、手段、流程(TTP),經過資安業者Mandiant分析,使用Castletap的攻擊者身分很有可能就是中國駭客,這樣的情況,很難不讓人聯想Pygmy Goat也與中國駭客有關。
針對這個惡意程式的特性,NCSC指出,Pygmy Goat會產生使用ICMP協定的原生Socket,用來監控流入的封包,並在與C2連線的過程裡,使用AES加密的TCP封包,回傳IP位址及連接埠資訊。
再者,此惡意程式濫用LD_PRELOAD掛鉤Socket的特定功能,偷看特定SSH連接埠的流入流量,並重覆使用這種連線機制與C2通訊。另一方面,這支惡意程式還嵌入署名為FortiGate, Fortinet Ltd發布的CA憑證,想要冒充FortiGate防火牆而趁機到其他臺FortiGate當中執行,建立與C2之間的TLS連線。
一旦上述連線建立成功,攻擊者就能透過C2建立遠端Shell、啟動封包截取、產生cron工作排程,或是設置SOCKS反向代理伺服器,而能傳送流量到防火牆後方的其他設備。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15