近日，以色列網絡安全公司Intezer發現了一個病毒檢出率為零的Linux後門——ACBackdoor，它似乎并不出自任何一個已知的黑客組織之手

圖1.ACBackdoor Linux變種的病毒檢出率

此外，Intezer公司還發現了相同後門的Windows變種。與其他大多數Windows病毒一樣，ACBackdoor Windows變種與Linux變種相比，病毒檢出率高了不少。

圖2.ACBackdoor Windows變種的病毒檢出率

技術分析表明，ACBackdoor不僅為攻擊者提供了執行任意shell命令以及二進制文件的能力，而且還能夠實現長久駐留以及自我更新。

此外，該後門背後的團隊似乎對于入侵Linux系統很有經驗，并且正在将黑手伸向Windows系統，以擴大攻擊範圍。

Linux二進制文件是一個靜态鍊接的ELF文件，而Windows二進制文件則是一個動态鍊接的PE文件。就整體功能而言，兩類變種在本質上都是相同的，隻是在實現上存在細微差别。

首先，兩類變種使用相同的協議與同一台C2服務器進行通信，區别在于交付載體不同：

圖3.兩類變種之間的關聯

其中，Windows變種是通過Fallout漏洞利用工具包交付的，且病毒傳播目前仍在進行。

Windows變種的設計相對簡單，二進制文件是使用MinGW編譯器生成的。

圖4.ACBackdoor Windows變種中的MinGW字符串

主函數沒有經過混淆處理，邏輯上看起來很簡單。在Windows變種中，我們可以看到函數頭是如何解碼某些字符串的。

圖5.ACBackdoor Windows變種的主函數

此外，我們還可以在解密的字符串中看到特定于Linux的字符串，例如内核線程進程名稱或屬于Linux文件系統的路徑。這可能意味着，ACBackdoor Windows變種是直接從Linux變種移植過來的。

圖6.ACBackdoor Linux變種的主函數

在完成初始字符串的解碼後，ACBackdoor會收集受感染主機的架構、系統版本和MAC地址等信息。

圖7.ACBackdoor Linux和Windows變種之間的代碼結構相似性

在收集到這些信息後，ACBackdoor将連接這些字段，添加可能表示某種版本ID的字符串“0.5”，然後使用MD5 哈希算法加密字符串。

圖8.兩類ACBackdoor變種收集的受感染主機信息

之後，ACBackdoor便會為實現長久駐留進行一系列操作。其中Windows變種會修改注冊表項“HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun”，以便随系統的啟動而啟動；Linux變種則會添加一個initrd腳本，目的同樣是實現在系統啟動時自動運行。

圖9.ACBackdoor用于實現長久駐留的代碼

在運行時，Windows變種試圖僞裝成Microsoft Anti Spyware實用程序（MsMpEng.exe），而Linux變種則試圖僞裝成Ubuntu的更新工具（update-notifier）。如果在受感染的Linux系統上運行ps命令，我們可以在進程列表中看到如下進程名稱：

圖10. ACBackdoor Linux變種執行的進程重命名

經過對ACBackdoor Linux變種和Windows變種的對比分析，Intezer公司認為，ACBackdoor的開發者缺乏編寫Windows病毒的經驗。例如，Linux變種的代碼編寫明顯優于Windows變種。

不過，這兩類變種所能夠實現的惡意功能，是完全一緻的。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!