行业新闻

武汉安鸾学院 > 行业新闻 > 新闻资讯 > Linux 应用 Free Download Manager 被秘密植入后门达三年之久

Linux 应用 Free Download Manager 被秘密植入后门达三年之久

  • 2023年9月18日
  • 作者: 安鸾网络
  • 分类目录 新闻资讯
没有评论

在过去的几年中,Linux机器已经成为各种威胁者越来越突出的目标。根据我们的遥测,在2023年上半年出现了260,000个独特的Linux样本。正如我们将在本文中演示的那样,针对Linux的活动可以持续数年而不被网络安全社区注意到。

当我们决定调查一组可疑域时,我们发现了一个这样的长期攻击,其中包括:

2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org

c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org

0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org

c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org

在安全研究人员的眼中,这些域看起来令人担忧,因为它们可能是恶意软件使用域生成算法进行C2通信的景象。因此,我们决定对fdmpkg【.】org域名进行深入研究。

一个恶意的Debian仓库

我们发现有问题的域名有一个deb.fdmpkg【.】org子域。在浏览器中进入那里显示以下网页:

这是免费下载管理器Debian软件包库,请从主页下载。

正如页面所建议的,这个子域名声称拥有一个名为”Free Download Manager”的Debian软件库。我们进一步发现这个软件的Debian软件包可以从https://deb.fdmpkg[.]
org/freedownloadmanager.deb网址中找到。这个软件包包含一个被感染的postinst脚本,在安装时执行。该脚本将两个ELF文件放置到路径/var/tmp/crond和/var/Tmp/bs。然后,它通过创建一个cron任务(存储在文件/etc/cron.d/collect中)来建立持久性,该任务每10分钟启动一次/var/tmp/crond文件。

被感染的软件包安装的Free Download Manager版本于2020年1月24日发布。与此同时,postinst脚本包含俄语和乌克兰语的评论,包括对恶意软件的改进信息,以及活动家的声明。他们提到的日期是20200126(2020年1月26日)和20200127(2020年1月27日)。

一种基于DNS后门

安装恶意软件包后,每次启动时都会通过cron启动可执行文件/var/tmp/crond。这个可执行文件是一个后门,它不从外部库导入任何函数。为了访问Linux API,它在静态链接的dietlibc库的帮助下调用系统调用。

在启动时,这个后门程序对《十六进制编码的20字节字符串》.u.fdm pkg【.】org域发出一个类型A的DNS请求。作为对这个请求的响应,后门程序接收两个IP地址,这两个IP地址编码了备用C2服务器的地址和端口。以下是在我们研究的时候返回的地址:

172.111.48[.]101

127.1.0[.]80

上面列表中的第一个IP地址是备用C2服务器的地址,而第二个地址包含连接端口(以第三和第四个八位字节编码)和连接类型(以第二个八位字节编码)。

在解析DNS请求的响应之后,后门启动一个反向shell,使用辅助C2服务器进行通信。根据连接类型的不同,通信协议可以是SSL或TCP。对于SSL,crond后门启动/var/tmp/bs可执行文件,并将所有进一步的通信委托给它。否则,反向shell将由crond后门本身创建。

Bash窃贼

在发现crond后门创建了一个反向shell之后,我们决定检查一下攻击者是如何使用这个shell的。要做到这一点,我们在恶意软件分析沙盒中安装了受感染的免费下载管理器软件包。通过分析crond生成的流量,我们确定攻击者在沙箱中部署了一个Bash窃取程序。此窃取者收集系统信息、浏览历史记录、保存的密码、加密货币钱包文件以及云服务(AWS、Google Cloud、Oracle云基础设施、Azure)的凭据等数据。

从受感染的机器收集信息后,窃取者从C2服务器下载一个上传程序二进制文件,并将其保存到/var/tmp/atd。然后,它使用这个二进制文件将窃取执行结果上传到攻击者的基础结构中。

我们没有观察到通过反向外壳进行的任何其他活动,因此整个感染链可以用下图来描述:

传染媒介之谜

在分析了链中的所有组件之后,我们想要找出被感染的Debian软件包是如何分发给受害者的。我们查看了免费下载管理器的官方网站(freedownloadmanager【.】org)。可从该网站下载的软件包被托管在
files2.freedownloadmanager【.】org域上,它们不是后门程序。

然后我们决定对fdmpkg【.】.org域名进行一次开源检查。这次检查发现,在StackOverflow和Reddit等网站上有十几个帖子,用户一直在讨论受感染的免费下载管理器发行版引起的问题,没有意识到他们实际上成了恶意软件的受害者。这些职位是在三年内——从2020年到2022年——发布的。