Auto-Color
بر اساس یافته‌های جدید Palo Alto Networks Unit 42، دانشگاه‌ها و سازمان‌های دولتی در آمریکای شمالی و آسیا توسط یک بدافزار لینوکس که قبلاً مستند نشده بود به نام Auto-Color بین نوامبر تا دسامبر ۲۰۲۴ هدف قرارگرفته‌اند.

الکس آرمسترانگ، محقق امنیتی، در نگارش فنی این بدافزار گفت[۱]: پس از نصب، Auto-color به عوامل تهدید امکان دسترسی کامل از راه دور به ماشین‌های در معرض خطر را می‌دهد و حذف آن را بدون نرم‌افزار تخصصی بسیار دشوار می‌کند.

Auto-color بر اساس نام فایل به این صورت است که بار اولیه پس از نصب نام خود را تغییر می‌دهد. در حال حاضر مشخص نیست که چگونه به اهداف خود می‌رسد، اما آنچه مشخص است این است که قربانی باید آن را به‌صراحت بر روی دستگاه لینوکس خود اجرا کند.

یکی از جنبه‌های قابل‌توجه این بدافزار، زرادخانه ترفندهایی است که برای فرار از شناسایی به کار می‌گیرد. این شامل استفاده از نام فایل‌های به‌ظاهر بی‌ضرر مانند door یا egg، پنهان کردن اتصالات فرمان و کنترل (C2) و استفاده از الگوریتم‌های رمزگذاری اختصاصی برای پنهان کردن اطلاعات ارتباط و پیکربندی است.

پس از راه‌اندازی با امتیازات ریشه، اقدام به نصب یک ایمپلنت کتابخانه مخرب به نام «libcext.so.2» می‌کند، کپی می‌کند و نام خود را به /var/log/cross/auto-color تغییر می‌دهد، و تغییراتی در «/etc/ld.preload» برای ایجاد پایداری در میزبان انجام می‌دهد.

Auto-Color

آرمسترانگ گفت: «اگر کاربر فعلی فاقد امتیازات روت باشد، بدافزار به نصب ایمپلنت کتابخانه روی سیستم ادامه نخواهد داد. این بدافزار تا حد امکان مراحل بعدی خود را بدون این کتابخانه انجام خواهد داد.»

ایمپلنت کتابخانه برای قلاب کردن غیرفعال توابع مورداستفاده در [۲]libc برای رهگیری فراخوانی open() system[3] مجهز است که از آن برای مخفی کردن ارتباطات C2 با تغییر “/proc/net/tcp”، فایلی که حاوی اطلاعات تمام اتصالات شبکه فعال است، استفاده می‌کند. تکنیک مشابهی توسط بدافزار لینوکس دیگری به نام [۴]Symbiote اتخاذ شده است.

همچنین با محافظت از “/etc/ld.preload” در برابر تغییر یا حذف بیشتر، از حذف بدافزار جلوگیری می‌کند.

Auto-color سپس با یک سرور C2 تماس می‌گیرد و به اپراتور توانایی ایجاد پوسته معکوس، جمع‌آوری اطلاعات سیستم، ایجاد یا اصلاح فایل‌ها، اجرای برنامه‌ها، استفاده از دستگاه به‌عنوان پروکسی برای ارتباط بین یک آدرس IP راه دور و یک آدرس IP هدف خاص و حتی حذف خود را با استفاده از سوئیچ kill می‌دهد. آرمسترانگ گفت: “پس از اجرا، بدافزار تلاش می‌کند دستورالعمل‌های راه دور را از یک سرور فرمان دریافت کند که می‌تواند درهای پشتی پوسته معکوس را در سیستم قربانی ایجاد کند. عملگرهای تهدید به‌طور جداگانه هر IP سرور فرمان را با استفاده از یک الگوریتم اختصاصی کامپایل و رمزگذاری می‌کنند.”

 

منابع

[۱] https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color

[۲] https://www.man7.org/linux/man-pages/man7/libc.7.html

[۳] https://www.man7.org/linux/man-pages/man2/open.2.html

[۴] https://thehackernews.com/2022/06/symbiote-stealthy-linux-malware.html