一種新發(fā)現(xiàn)的Linux惡意軟件，名為Auto-color，正在針對北美和亞洲的教育機構和政府實體進行攻擊。該病毒采用先進的隱身技術，以規(guī)避檢測和清除。

Auto-color的隱身與持久化機制

Palo Alto Networks Unit 42的研究人員發(fā)現(xiàn)了這種惡意軟件。他們的調(diào)查顯示，該病毒在2024年11月至12月期間活躍。Auto-color的獨特之處在于它使用了無害的文件名，如“door”或“egg”等常見詞匯，來偽裝其初始可執(zhí)行文件。

Unit 42的博客文章由Alex Armstrong撰寫，文中指出：“盡管文件大小總是相同，但哈希值不同。這是因為惡意軟件作者將加密的C2配置負載靜態(tài)編譯到每個惡意軟件樣本中?！?/p>

在執(zhí)行時，Auto-color會檢查其文件名，如果不匹配指定的名稱，則會啟動安裝階段。這一階段包括在系統(tǒng)中嵌入一個惡意庫植入物，模仿合法的系統(tǒng)庫。惡意軟件的行為會根據(jù)用戶是否具有root權限而有所不同。如果具有root權限，它將安裝一個旨在覆蓋核心系統(tǒng)功能的庫。

Auto-color流程圖（來源：Palo Alto Networks）

Auto-color隱身的一個關鍵方面是它操縱了Linux系統(tǒng)的ld.preload文件。這使得惡意軟件能夠確保其惡意庫在其他系統(tǒng)庫之前加載，從而能夠攔截和修改系統(tǒng)功能。這種技術賦予了惡意軟件對系統(tǒng)行為的顯著控制能力，包括隱藏其網(wǎng)絡活動的能力。

高級網(wǎng)絡隱藏與加密通信

Auto-color采用復雜的方法來隱藏其網(wǎng)絡連接。它鉤住了C標準庫中的函數(shù)，從而能夠過濾和操縱系統(tǒng)的網(wǎng)絡連接信息。通過更改/proc/net/tcp文件的內(nèi)容，它有效地隱藏了與命令和控制服務器的通信，使安全分析師難以檢測。研究人員指出，這種操縱比之前發(fā)現(xiàn)的惡意軟件所使用的類似技術更為先進。

惡意軟件使用一種專有的加密機制來連接遠程服務器，從動態(tài)生成的配置文件或嵌入的加密負載中檢索目標服務器詳細信息。它使用自定義的流密碼與攻擊者的基礎設施進行安全通信。

博客文章寫道：“流密碼是一種加密方案，其中密鑰與密文的每個字節(jié)進行交互。”

一旦建立連接，惡意軟件會與服務器交換加密消息，從而在受感染的系統(tǒng)上執(zhí)行命令。

應對措施與建議

Auto-color的發(fā)現(xiàn)凸顯了基于Linux的惡意軟件的日益復雜化，因為它能夠操縱核心系統(tǒng)進程，其先進的規(guī)避技術對目標行業(yè)構成了重大威脅。組織應加強其安全措施，包括嚴格的權限控制、行為威脅檢測和對Linux系統(tǒng)的持續(xù)監(jiān)控，以降低感染風險。