最近Trickbot的Achor_Linux恶意软件针对Linux系统和IoT设备

最近，第二阶段安全研究人员Waylon Grange发现了一个新样本，该样本表明Trickbot的Anchor恶意软件平台已移植到感染Linux设备上。

Trickbot是一个多功能的Windows恶意软件平台。它用于各种恶意活动，例如窃取信息，密码，渗透Windows域和传播恶意软件。威胁参与者租用了该恶意软件，并利用它渗透网络并从中获取任何东西。然后，它用于部署Ryuk和Conti等勒索软件来加密网络设备。

在2019年底，SentinelOne和NTT报告了一个名为Anchor的新Trickbot框架，该框架利用DNS与命令和控制服务器进行通信。 Anchor_DNS用于具有有价值的财务信息的高价值，高影响力的目标。恶意行为者使用它来部署勒索软件，并像活动中的APT中的后门一样。

Advanced Intel的分析师Vital Kremez分析了Interzer Labs发现的Anchor_Linux恶意软件，并说，安装后，此恶意软件将使用以下crontab条目将自身配置为每分钟运行：

* / 1 * * * * root [文件名]

该恶意软件还包含嵌入式Windows TrickBot可执行文件。根据Interzer的说法，该嵌入式二进制文件是一种新的轻量级Trickbot恶意软件，其代码与旧的Trickbot工具关联。它用于感染同一网络上的Windows计算机。使用SMB和$ IPC，Anchor_linux将复制嵌入的Trickbot恶意软件以感染网络上的Windows设备。在此之后，Anchor_Linux将使用服务控制管理器远程协议和名为管道的SMB SVCCTL将其配置为Windows服务。

配置服务后，恶意软件将在Windows主机上启动。它将连接命令控制服务器和命令来执行。它也可以使攻击者通过后门攻击非Windows环境。攻击者使用此后门将枢轴转换为同一网络上的Windows设备。

正如Kremez所说，“该恶意软件在UNIX环境中充当隐蔽的后门持久性工具，不仅用作Windows攻击的枢纽，而且还用作电子邮件网络钓鱼之外的非正统初始攻击媒介。它使该组织可以将目标锁定并感染UNIX环境中的服务器。 （例如路由器）并将其用于企业网络。”

甚至在Linux OS上运行的IoT设备（例如路由器，VPN设备和NAS设备）也可能成为此最新Anchor_Linux恶意软件的目标。因此，对您的Linux系统和IoT设备提供足够的保护对您而言至关重要。

对于Linux用户，Anchor_Linux在/tmp/anchor.log中创建一个日志文件。因此，如果看到系统上存在此文件，则应针对此恶意软件的存在对系统执行完整的审核。