ACBackdoor，一种会影响Linux和Windows的新恶意软件

几分钟前 我们已经发表 我们在文章中说，没有完美的软件。 而且，Chrome，Edge或Safari等浏览器很容易被黑客入侵。 在文章中，我们说过软件是不完善的，在程序/应用程序以及操作系统中都是如此，但是却谈到了程序中存在的漏洞。 现在我们必须做同样的事情，但是要在操作系统上：发现了一种会影响Linux和Windows的新恶意软件，其名称为 AC后门.

就像 已经报告 Bleeping Computer，安全研究人员发现了一个新的跨平台后门 影响Windows和Linux操作系统。 该恶意软件可用于在受感染的计算机上执行恶意代码和二进制文件。 从外观上看，它是由具有开发Linux恶意工具经验的团队开发的，所有这些都是Intenzer的Ignacio Sanmillan的话。

ACBackdoor在Linux上比Windows上更为危险

有两种变体，它们都共享相同的命令和控制服务器（C2）。 他们使用的感染途径不同： Windows版本正在借助Fallout Exploit Kit进行恶意广告升级，而 Linux有效负载通过尚未交付的未知系统被丢弃.

最新版本的恶意软件针对漏洞 CVE-2018-15982， 与有关 Flash播放器和 CVE-2018-8174，与Internet Explorer VBScript引擎有关。 在这两种情况下，目的都是使访问者感染由攻击者控制的网页。 我们可以说，尽管我们坚持认为没有完美的软件，但是在Flash Player的情况下，它会下雨了。

最奇怪的是，Windows版本并不构成复杂的威胁，或者说不那么常见。 ACBackdoor的版本 Windows是Linux的“端口”:

Linux植入程序的编写要比Windows植入程序好得多，突出了持久性机制的实现以及不同的后门命令以及Windows版本中未见的其他功能，例如创建单独的进程和重命名进程。.

此后门如何工作

感染计算机后，恶意软件将开始 收集系统信息，包括其架构和MAC地址。 为此，它使用特定于平台的工具，Windows上的Windows API函数以及UNIX uname程序，该程序通常用于在Linux上打印系统信息。 完成信息收集任务后，ACBackdoor将在Windows注册表中添加一个条目并创建几个符号链接，而在Linux上它将创建一个脚本 初始化 以实现持久性并在每次重新启动时自动启动。

在Windows上，后门还将尝试伪装成MsMpEng.exe进程，即Microsoft的Windows Defender反恶意软件和间谍软件实用程序。 在Linux中，它将通过模拟Ubuntu的新更新通知实用程序（UpdateNotifier）进行伪装，并且 将您的进程重命名为 [kworker / u8：7-ev]，它与Linux内核有关。

ACBackdoor通过HTTPS发送信息

为了与C2服务器通信，恶意软件的两种变体 使用HTTPS作为通讯渠道，将所有收集的信息作为BASE64编码的有效负载发送。 另一方面，ACBackdoor可以从所述C2服务器接收信息，执行和更新命令，从而允许其所有者执行Shell命令，二进制文件并更新已感染系统中已经存在的恶意软件。

常识是避免此问题和其他恶意软件问题的最佳方法。 第一件事就是不要访问可疑来源的网页，现代浏览器可以帮助您警告某个网站是否危险。 另一方面，这对于任何操作系统都是如此，始终值得拥有 完善的软件 我们正在使用。 没有完美的软件（包括操作系统），ACBackdoor是最新的证明。