Linux 系統受到新型 RedXOR 惡意軟件攻擊

研究人員說，新型RedXOR后門針對數據外泄和網絡流量隧道功能的Linux系統。

研究人員發現了一種針對Linux系統的新后門，他們將其鏈接回Winnti威脅小組。

后門被稱為RedXOR-部分是因為其網絡數據編碼方案基于XOR加密算法，部分原因是其樣本是在Red Hat Enterprise Linux平臺的舊版本中找到的。研究人員指出，后一個事實提供了一個線索，表明RedXOR被用于針對傳統Linux系統的針對性攻擊。

研究人員說，該惡意軟件具有多種惡意功能-從泄露數據到將網絡流量隧道傳輸到另一個目的地。

Intezer的安全研究人員Avigayil Mechtinger說：“這場活動最初的方案未知，但Linux環境的一些常見切入點是：使用泄露的憑據，或者利用漏洞或錯誤配置。” “也有可能最初的危害是通過不同的端點，這意味著威脅行為者橫向移動到部署了該惡意軟件的Linux計算機。”

在從印度尼西亞和臺灣的兩個不同來源上載到VirusTotal之后，對樣本進行了檢測。研究人員說，基于此，很可能至少有兩個實體在其環境中發現了該惡意軟件。

RedXOR惡意軟件：網絡安全威脅

執行后，RedXOR在主文件夾內創建一個隱藏文件夾（稱為“ .po1kitd.thumb”），然后將其用于存儲與惡意軟件有關的文件。然后，它在此文件夾中創建一個隱藏文件（“ .po1kitd-2a4D53 ”）。然后，該惡意軟件將二進制文件安裝到隱藏文件夾（稱為“ .po1kitd-update-k ”），并通過“ init ”腳本設置持久性。

研究人員在周三的分析中說：“惡意軟件將加密的配置存儲在二進制文件中。” “除了命令和控制（C2）IP地址和端口，還可以將其配置為使用代理。該配置包括一個密碼……惡意軟件使用此密碼對C2服務器進行身份驗證。”

建立此配置后，惡意軟件然后通過TCP套接字與C2服務器通信，并且可以執行各種不同的命令（通過命令代碼）。這些命令包括：上傳，刪除或打開文件，執行Shell命令，建立網絡流量隧道以及將內容寫入文件。

研究人員說，他們發現RedXOR與先前報告的與Winnti相關的其他惡意軟件之間存在“關鍵相似之處”：PWNLNX后門，XOR.DDOS僵尸網絡和Groundhog僵尸網絡。該Winnti威脅組（又名APT41，Barium, Wicked Panda or Wicked Spider）是著名的族國家支持的網絡間諜活動以及金融網絡犯罪。

這些相似之處包括使用開源內核rootkit（用于隱藏其進程）。使用的功能名稱CheckLKM；使用XOR進行網絡編碼；以及主要功能流程中的各種相似之處。

研究人員說，“ RedXOR的整體代碼流，行為和功能與PWNLNX非常相似。” 兩者都具有文件上傳和下載功能以及正在運行的shell。這兩個系列中的網絡隧道功能都稱為“ PortMap”。”

研究人員表示，到2020年，新的Linux惡意軟件家族將增長40％，創下56種惡意軟件的新記錄。 他們說，除了Winnti之外，諸如APT28，APT29和Carbanak之類的威脅參與者正在開發其傳統惡意軟件的Linux版本。

Intezer研究人員說：“由于Linux在大多數公共云工作負載上運行，因此Linux系統受到不斷的攻擊。” “ Sophos進行的一項調查發現，在過去的一年中，使用公共云托管數據或工作負載的組織中有70％發生了安全事件。”