ACBackdoor, novi malware koji utječe na Linux i Windows

Prije nekoliko minuta objavili smo članak u kojem smo rekli da ne postoji savršen softver. A je li i preglednike poput Chromea, Edgea ili Safarija "lako" hakirati. U članku smo rekli da je softver nesavršen i takav je u programima / aplikacijama, kao i u operativnim sistemima, ali bilo je govora o ranjivostima pronađenim u programima. Sada moramo učiniti isto, ali na operativnim sistemima: otkriven je novi malware koji utječe na Linux i Windows i zove se ACBackdoor.

Baš kao je izvijestio "Bleeping Computer", istraživači sigurnosti otkrili su novu stražnju pozadinu na više platformi utiče na operativni sistem Windows i Linux. Ovaj zlonamjerni softver mogao bi se koristiti za izvršavanje zlonamjernog koda i binarnih datoteka na ugroženim računalima. Izgleda da ga je razvila grupa s iskustvom u razvoju zlonamjenskih alata za Linux, a sve prema riječima Ignacia Sanmillana iz Intenzera.

ACBackdoor je opasniji na Linuxu nego na Windowsu

Postoje dvije varijante i obje dijele isti naredbeni i kontrolni poslužitelj (C2). Rute infekcije koje koriste su različite: dok se verzija Windows-a promovira malverziranjem uz pomoć Fallout Exploit Kit-a Nosivost Linuxa pada kroz još nepoznati sistem isporuke.

Najnovija verzija zlonamjernog softvera cilja ranjivosti CVE-2018-15982, u vezi sa Flash Player, i CVE-2018-8174, povezan sa VBScript motorom Internet Explorera. U oba slučaja, namjera je zaraziti posjetitelje web stranica koje kontrolira napadač. Mogli bismo reći da, iako inzistiramo na tome da ne postoji savršen softver, u slučaju Flash Player-a kiša pada po mokrom.

Najčudnija stvar ili, recimo to rjeđa pojava, jeste da verzija sistema Windows ne predstavlja složenu prijetnju. ACBackdoorova verzija Windows je "port" Linuxa:

Linux implantat je izuzetno bolje napisan od Windows implantata, ističući implementaciju mehanizma postojanosti zajedno s različitim backdoor naredbama i dodatnim značajkama koje se ne vide u Windows verziji, poput stvaranja zasebnih procesa i procesa preimenovanja.

Kako ovo radi iza vrata

Nakon zaraze računara, zlonamjerni softver će početi prikupljati sistemske informacije, uključujući njegovu arhitekturu i MAC adresu. Da bi to postigao, koristi alate specifične za platformu, sa Windows API funkcijama na Windowsu i UNIX uname programom koji se obično koristi za ispis sistemskih informacija na Linuxu. Kada završi sa zadacima prikupljanja informacija, ACBackdoor će dodati unos u Windows registar i stvoriti nekoliko simboličkih veza, dok će na Linuxu stvoriti skriptu initrd za postizanje upornosti i automatsko pokretanje pri svakom ponovnom pokretanju.

Na Windowsu će backdoor pokušati da se maskira kao MsMpEng.exe proces, Microsoftov uslužni program za zaštitu od virusa Windows Defender. U Linuxu će biti kamufliran oponašanjem novog Ubuntuovog uslužnog programa za obavještavanje o ažuriranju (UpdateNotifier) ​​i preimenovat će vaš proces u [kworker / u8: 7-ev], koji je povezan sa Linux jezgrom.

ACBackdoor šalje informacije putem HTTPS-a

Za komunikaciju sa C2 serverom, obje varijante zlonamjernog softvera koristite HTTPS kao komunikacijski kanal, slanje svih prikupljenih podataka u obliku BASE64 kodiranog korisnog tereta. S druge strane, ACBackdoor može primati informacije, izvršavati i ažurirati naredbe s navedenog C2 poslužitelja, što omogućava njegovim vlasnicima da izvršavaju naredbe ljuske, binarne datoteke i ažuriraju malware koji već postoji u zaraženom sistemu.

Zdrav razum je najbolji način da se izbjegnu ovaj i drugi problemi sa zlonamjernim softverom. Prva stvar je ne posjećivati ​​web stranice sumnjivog porijekla, nešto čemu pomaže moderni preglednik i upozorava nas ako web stranica jest / može biti opasna. S druge strane, a to se odnosi na bilo koji operativni sistem, uvijek ga vrijedi imati dobro ažuriran softver koje koristimo. Ne postoji savršeni softver koji uključuje operativne sisteme, a ACBackdoor je najnoviji dokaz za to.