Злоумышленники нашли новый способ превращать системы Linux в скрытые центры распространения в цепочке поставок, устойчивые к блокировке.
Исследователи из Trend Micro раскрыли новый фреймворк вредоносного ПО, получивший название Quasar Linux или QLNX, охарактеризовав его как модульный троян удаленного доступа (RAT) для Linux. Однако особенностью этой кампании является использование вредоносным ПО возможностей одноранговой (P2P) mesh-сети, которая превращает отдельные импланты в взаимосвязанную сеть заражения, что затрудняет ликвидацию кампании.
QLNX также сочетает функциональность руткита на уровне ядра, бэкдоров аутентификации на основе PAM и механизмы сохранения для сокрытия на скомпрометированных системах, одновременно обеспечивая доступ злоумышленникам.
«Троян удаленного доступа Quasar Linux (QLNX) — это комплексный имплант для Linux, который сочетает возможности удаленного доступа с расширенными функциями уклонения, сохранения, кейлоггинга и сбора учетных данных», — заявили исследователи в посте в блоге. «Вредоносное ПО содержит встроенный исходный код на C как для своего бэкдора PAM, так и для руткита LD_PRELOAD в виде строковых литералов внутри бинарного файла».
Для противодействия этой угрозе необходимо настроить обнаружение по индикаторам компрометации (IOC), предоставленным Trend Micro, все из которых теперь применяются к защитам, на которые подписаны клиенты Trend Vision One.
P2P-сеть и многоуровневая инфраструктура C2
Раскрытие информации указало на устойчивую конструкцию командно-контрольного центра (C2), предназначенную для противодействия блокировкам и сбоям. Исследователи сообщили, что QLNX поддерживает одноранговую (P2P) mesh-сеть, позволяя скомпрометированным системам общаться друг с другом, а не полагаться исключительно на централизованные серверы.
Это превращает зараженные системы Linux во взаимосвязанные ретрансляционные узлы, способные поддерживать связь, даже если части инфраструктуры нарушены. Это еще один фактор, способствующий сложности полного устранения.
Командно-контрольный центр (C2) управляет универсальным набором команд. «В общей сложности QLNX регистрирует 58 различных команд, охватывающих широкий спектр функциональности после компрометации, включая манипулирование файловой системой, сетевое туннелирование, сбор учетных данных и управление руткитами», — заявили исследователи, подробно описав полный список зарегистрированных команд и соответствующих им обработчиков.
Для сетевого взаимодействия QLNX поддерживает необработанный TCP, HTTPS и HTTP. «Все три транспортных протокола несут один и тот же базовый протокол двоичных команд», — написали в Trend Micro. «Каналы TCP и HTTPS защищены с помощью TLS, что гарантирует шифрование обмена командами и данными во время сетевого взаимодействия».
Сохранение доступа через руткиты и бэкдоры PAM
Исследователи также упомянули об использовании QLNX руткитов и подключаемых модулей аутентификации Linux (PAM) для обеспечения долгосрочного сохранения. По данным Trend Micro, вредоносное ПО использует функциональность руткита для сокрытия вредоносной активности, процессов и компонентов от административных инструментов и систем мониторинга безопасности.
Было замечено, что вредоносное ПО вмешивается в работу PAM — основного фреймворка аутентификации Linux, отвечающего за проверку входа в систему во многих службах. Изменяя компоненты PAM, злоумышленники могут потенциально перехватывать учетные данные, сохранять доступ или обходить средства аутентификации даже после смены паролей.
Trend Micro предупредила, что эти методы значительно усложняют устранение, поскольку обеспечивают сохранение доступа даже после удаления видимых артефактов вредоносного ПО.
Модульный QLNX скрывается за поддельными процессами
Анализ Trend Micro описывает QLNX как модульный фреймворк вредоносного ПО для Linux, разработанный для скрытности. Он полагается на многоуровневую внутреннюю логику, которая позволяет операторам динамически загружать возможности, сохранять доступ и выполнять команды, не вызывая тревоги.
Одной из особенностей, на которую обратили внимание исследователи, было поведение вредоносного ПО, связанное с подменой процессов. Оно скрывает вредоносные процессы под именами, имитирующими легитимные службы Linux и системные бинарные файлы, чтобы вписаться в рутинные административные рабочие процессы.
«Вредоносное ПО пытается избежать обнаружения, случайным образом выбирая одно из имен поддельных потоков ядра», — заявили исследователи, добавив, что имена пытаются имитировать легитимные потоки ядра, такие как «Kernel worker thread», «CPU migration thread» и «RCU scheduling thread» и другие. После выбора имени «QLNX применяет это имя последовательно к трем местоположениям метаданных процесса, чтобы обеспечить согласованность во всех инструментах проверки процессов», — добавили они.
Вредоносное ПО также использует продолжающуюся тенденцию к бестелесной доставке. «После выполнения QLNX копирует себя в файл в памяти, повторно запускается из этой копии в памяти и удаляет исходный бинарный файл с диска, не оставляя следов на диске», — говорится в сообщении.
Trend Micro добавила список IOC, включая хеши файлов, жестко закодированные пароли, цели сбора учетных данных и другие артефакты компиляции и сохранения, для поддержки усилий по обнаружению.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
