Новое поколение Linux-руткитов: технический анализ WolfsBane и FireWood

· SecurityLab.ru · Подписаться

Незаметные угрозы становятся глобальной проблемой.

Обнаружен новый бэкдор для Linux под названием WolfsBane, который, по мнению исследователей, представляет собой порт вредоносного ПО для Windows, ранее используемого хакерской группировкой Gelsemium из Китая. Анализ показал , что WolfsBane является комплексным инструментом, включающим дроппер, загрузчик и бэкдор, а также использует модифицированный open-source руткит для обхода обнаружения.

Кроме того, был выявлен ещё один образец вредоносного ПО для Linux под названием FireWood, который связан с аналогичным вредоносным ПО для Windows, известным как Project Wood. FireWood, вероятно, представляет собой общий инструмент, используемый несколькими китайскими APT-группами, а не эксклюзивную разработку Gelsemium.

Эксперты отмечают растущий интерес хакерских группировок к Linux-системам на фоне усиления защиты Windows. Такие изменения связаны с более широким использованием инструментов защиты конечных точек и отключением выполнения VBA-скриптов по умолчанию. Это заставляет злоумышленников искать новые пути атак, включая эксплуатацию уязвимостей в системах, работающих на Linux.

WolfsBane доставляется на целевые системы через дроппер под названием «cron», который маскируется под компонент рабочего стола KDE. В зависимости от уровня привилегий дроппер отключает SELinux, изменяет конфигурационные файлы системы или создаёт файлы службы для обеспечения постоянства. Затем запускается загрузчик, который активирует компонент вредоносного ПО, загружая три зашифрованные библиотеки с основной функциональностью и конфигурацией связи с управляющим сервером.

Для скрытности используется модифицированный руткит BEURK, который внедряется через файл «/etc/ld.so.preload» и обеспечивает сокрытие процессов, файлов и сетевого трафика. Основные задачи WolfsBane включают выполнение команд от управляющего сервера, что позволяет злоумышленникам выполнять операции с файлами, выводить данные и управлять системой.

FireWood, хоть и менее связан с Gelsemium, также представляет собой мощный инструмент для долгосрочных шпионских кампаний. Он предоставляет операторам возможности выполнения команд, операций с файлами, загрузки и выгрузки библиотек, а также скрытия процессов с помощью руткита. Для обеспечения автозапуска FireWood создаёт файл в папке «.config/autostart/» с командами, исполняемыми при старте системы.

Оба образца вредоносного ПО демонстрируют усилия APT-групп по расширению своих операций на Linux-платформах. Подробный перечень индикаторов компрометации, связанных с этими кампаниями, доступен на GitHub.