Auto-Color: Un nou malware evaziv pentru Linux

Securitate
technewsroLeave a Comment on Auto-Color: Un nou malware evaziv pentru Linux

În perioada recentă, cercetătorii de la Palo Alto Networks au descoperit un malware emergent numit Auto-Color, care țintește sisteme Linux. Acest malware folosește tehnici sofisticate pentru a evita detectarea și oferă atacatorilor acces complet de la distanță la mașinile compromise. Iată o privire de ansamblu asupra acestui malware periculos și modul în care funcționează.

Metode de evaziune

Auto-Color utilizează mai multe metode pentru a evita detectarea, inclusiv:

  • Nume de fișiere inofensive: Malware-ul folosește nume de fișiere care par benigne pentru a se ascunde în sistem.
  • Ascunderea comunicațiilor C2: Ascunde conexiunile de comandă și control (C2) folosind tehnici avansate asemănătoare cu cele utilizate de familia de malware Symbiote.
  • Criptare proprietară: Implementarea unui algoritm de criptare propriu pentru a ascunde informațiile de comunicare și configurare.

Acces de la distanță și instalare

Odată instalat, Auto-Color oferă atacatorilor acces complet de la distanță la mașinile compromise, ceea ce face dificilă eliminarea sa fără software specializat. Procesul de instalare include verificarea privilegiilor utilizatorului și instalarea unei biblioteci rău intenționate dacă utilizatorul are privilegii de root. Această bibliotecă imită librăria legitimă C utility library libcext.so.0 pentru a evita detectarea.

Ascunderea activității în rețea

Pentru a ascunde activitatea de rețea, Auto-Color manipulează fișierul /proc/net/tcp din sistemul de fișiere proc. Malware-ul verifică fiecare linie pentru a vedea dacă anumite porturi locale sau adrese IP remote există într-o structură specifică de date din memoria partajată. Dacă da, malware-ul nu scrie acea intrare specifică în fișierul modificat, ascunzând astfel activitatea de rețea de victimă.

Algoritm de criptare

Auto-Color folosește un algoritm de criptare proprietar pentru a ascunde sarcina utilă țintă (payload). Algoritmul utilizează un cifru de flux și operațiuni de XOR bitwise și scădere pentru a cripta și decripta datele.

Funcționalități API

Malware-ul poate executa o serie de comenzi de la distanță printr-un protocol API, inclusiv:

  • Crearea de reverse shell pentru acces de la distanță
  • Manipularea fișierelor și execuția de programe local
  • Acționarea ca un proxy de rețea
  • Manipularea configurațiilor globale

Mai multe informații puteți afla aici.

Related Posts

Arc Browser: Buletine de securitate și Bug Bounty Program

technewsro

NordProtect: Instrument de protecție împotriva furtului de identitate

technewsro

Avansul Inteligenței Artificiale: O Provocare Majoră în Securitatea IT

technewsro

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *