最近Trickbot的Achor_Linux恶意软件针对Linux系统和IoT设备
最近,第二阶段安全研究人员Waylon Grange发现了一个新样本,该样本表明Trickbot的Anchor恶意软件平台已移植到感染Linux设备上。
Trickbot是一个多功能的Windows恶意软件平台。它用于各种恶意活动,例如窃取信息,密码,渗透Windows域和传播恶意软件。威胁参与者租用了该恶意软件,并利用它渗透网络并从中获取任何东西。然后,它用于部署Ryuk和Conti等勒索软件来加密网络设备。
在2019年底,SentinelOne和NTT报告了一个名为Anchor的新Trickbot框架,该框架利用DNS与命令和控制服务器进行通信。 Anchor_DNS用于具有有价值的财务信息的高价值,高影响力的目标。恶意行为者使用它来部署勒索软件,并像活动中的APT中的后门一样。
Advanced Intel的分析师Vital Kremez分析了Interzer Labs发现的Anchor_Linux恶意软件,并说,安装后,此恶意软件将使用以下crontab条目将自身配置为每分钟运行:
* / 1 * * * * root [文件名]
该恶意软件还包含嵌入式Windows TrickBot可执行文件。根据Interzer的说法,该嵌入式二进制文件是一种新的轻量级Trickbot恶意软件,其代码与旧的Trickbot工具关联。它用于感染同一网络上的Windows计算机。使用SMB和$ IPC,Anchor_linux将复制嵌入的Trickbot恶意软件以感染网络上的Windows设备。在此之后,Anchor_Linux将使用服务控制管理器远程协议和名为管道的SMB SVCCTL将其配置为Windows服务。
配置服务后,恶意软件将在Windows主机上启动。它将连接命令控制服务器和命令来执行。它也可以使攻击者通过后门攻击非Windows环境。攻击者使用此后门将枢轴转换为同一网络上的Windows设备。
正如Kremez所说,“该恶意软件在UNIX环境中充当隐蔽的后门持久性工具,不仅用作Windows攻击的枢纽,而且还用作电子邮件网络钓鱼之外的非正统初始攻击媒介。它使该组织可以将目标锁定并感染UNIX环境中的服务器。 (例如路由器)并将其用于企业网络。”
甚至在Linux OS上运行的IoT设备(例如路由器,VPN设备和NAS设备)也可能成为此最新Anchor_Linux恶意软件的目标。因此,对您的Linux系统和IoT设备提供足够的保护对您而言至关重要。
对于Linux用户,Anchor_Linux在/tmp/anchor.log中创建一个日志文件。因此,如果看到系统上存在此文件,则应针对此恶意软件的存在对系统执行完整的审核。