Разбор Auto-color — угрозы для Linux-систем

24/3/2025

Содержание:
Вредоносное программное обеспечение для Linux продолжает развиваться, становясь всё более сложным и скрытным. Бэкдор Auto-сolor, обнаруженный исследователями из Palo Alto Networks, представляет собой продвинутую малварь с механизмами уклонения от обнаружения и возможностью полного захвата системы. В этом материале мы детально разберём её работу, методы распространения, угрозы для корпоративных пользователей и эффективные стратегии защиты.

Как работает Auto-color?

Заражение целевой системы

В настоящее время неизвестно, как исходный исполняемый файл попадает на целевые компьютеры, но предполагается, что пользователь должен сам запустить этот исполняемый файл на своём компьютере под управлением ОС Linux. Это напоминает атаки на ОС Windows, где заражение часто происходит через социальную инженерию.

Мы можем предположить следующие способы распространения:

  • Фишинговые атаки — жертва получает вредоносный файл под видом легитимного ПО.
  • Компрометированные репозитории — заражённые пакеты распространяются под видом обновлений.
  • Взломанные сайты — злоумышленники внедряют вредоносный код в установочные скрипты.

Первоначально исполняемый файл может иметь любое имя - door или egg. Если пользователь не имеет прав администратора, вредонос устанавливает соединение с управляющим сервером (С2 - command and control) и позволяет получить доступ к любым файлам и данным, доступным этому пользователю. Если же у пользователя есть права администратора, малварь копирует и переименовывает себя в /var/log/cross/auto-color и устанавливает библиотеку libcext.so.2, которая затем дописывается в файл /etc/ld.preload. Это приводит к тому, что все исполняемые файлы, запускаемые в этой системе, начинают использовать функции из этой библиотеки. Часть этих функций подменяет функции системной библиотеки glibс, что позволяет скрыть малварь от обнаружения.

Механизмы маскировки и уклонения от обнаружения

  • Модификация /etc/ld.so.preload — внедрение библиотеки в адресное пространство всех процессов.
  • Сокрытие сетевой активности — фильтрация командно-контрольных (C2) соединений, чтобы их не видно было в стандартных утилитах (netstat, lsof).
  • Шифрование коммуникаций — использует проприетарные методы шифрования для скрытия команд и данных.

Функциональные возможности бэкдора

После установки Auto-сolor даёт злоумышленникам полный контроль над заражённой машиной. Возможности малвари включают:

  • Запуск произвольных команд от имени заражённого пользователя.
  • Создание скрытых процессов.
  • Динамическое изменение конфигурации.
  • Использование скомпрометированной системы как точки атаки на другие узлы сети.

Удаление бэкдора с работающей системы без специализированного программного обеспечения затруднено, поскольку он вносит изменения в системные файлы и активно следит за своим присутствием. Но можно загрузить заражённый компьютер с установочного носителя в режиме “Устранение неполадок” и удалить с жесткого диска все компоненты вредоноса.

Угроза для корпоративных пользователей

На момент анализа официальных случаев заражения в России не зафиксировано, в основном малварь  использовалась в атаках на университеты и государственные учреждения Северной Америки и Азии в ноябре и декабре 2024 года и вероятность её повторного появления маловероятна. Однако угроза может в любой момент проявиться в слегка видоизменённом виде, в том числе и в России: например, могут использоваться другие пути и имена файлов.

Какие риски несёт Auto-color и его потенциальные реинкарнации?

  • Кража данных — перехват конфиденциальной информации, включая логины и пароли.
  • Создание бэкдора — постоянный доступ к системе у сторонних пользователей.
  • Использование заражённых машин для атак — малварь может применять вычислительные ресурсы в ботнет-сетях.

Насколько уязвимы российские ОС, разберем на примере.

Работая над "МСВСфера", мы внедряем встроенные защитные механизмы, например:

  • Контроль целостности файлов (rpm --verify, AIDE).
  • Мандатное управление доступом (SELinux).

Но не менее важной является быстрота выпуска обновлений. Например, для "МСВСфера" мы регулярно обновляем браузер Chromium, закрывая потенциальные уязвимости до их активной эксплуатации. Но нужно понимать, что все эти усилия не дают гарантии без соблюдения правил кибербезопасности пользователями.

Как обнаружить угрозу? Индикаторы компрометации (IoC)

Признаки присутствия Auto-color:

Как защититься?

  1. Ограничение прав пользователей — минимизировать использование root-привилегий.
  2. Мониторинг системных изменений: проверка целостности пакетов с помощью пакетного менеджера (верификация пакетов, поиск файлов, не принадлежащих ни одному из пакетов) или использование специализированных инструментов, таких как AIDE.
  3. Запрет запуска исполняемых файлов из /home.
  4. Своевременная установка обновлений.
  5. Использование IDS-систем — анализ сетевой активности для выявления аномального трафика.
  6. Регулярное обучение сотрудников — предотвращение фишинговых атак.

Почему Auto-color — тревожный сигнал для администраторов?

Этот бэкдор демонстрирует эволюцию атак на Linux. Несмотря на репутацию защищённой платформы, OS Linux требует грамотной настройки и своевременных обновлений.

Основные выводы:

  • Безопасность Linux зависит от грамотной эксплуатации.
  • Российские ОС, такие как МСВСфера, обеспечивают мощные встроенные механизмы защиты, но требуют внимательного администрирования.
  • Киберугрозы становятся всё сложнее, а значит, комплексный подход к защите — обязательное условие.

Auto-color — лишь один из примеров того, какие угрозы существуют для Linux. И чем раньше компании внедрят превентивные меры, тем выше шансы не стать жертвой. Больше о малвари можно узнать здесь (на английском языке).

‍Оригинал статьи на ХАБР

Рекомендуем

Дизайн-язык в ИТ: от пиксельных иконок до нейроинтерфейсов

Инферит

Дизайн-язык в ИТ: от пиксельных иконок до нейроинтерфейсов

Инферит

Дизайн-язык в ИТ: от пиксельных иконок до нейроинтерфейсов

Дизайн-язык — главный элемент современных технологических продуктов. Он определяет не только их внешний вид, но и его логику, удобство и даже функциональность. Как менялся дизайн-язык с 1980-х до сегодняшних дней? Какие элементы остаются ключевыми? Обсудили с Анастасией Астафьевой, графическим дизайнером «Инферит».

Читать
Подробнее
Цифровая крепость: 15 вопросов ИБ-специалисту

Инферит ОС

Цифровая крепость: 15 вопросов ИБ-специалисту

Инферит ОС

Цифровая крепость: 15 вопросов ИБ-специалисту

Сегодня информация — это ключевой актив для любого бизнеса. Вместе с тем растет профессионализм мошенников, у хакеров появляются все новые инструменты для взлома, включая ИИ. О том, за что отвечают специалисты по ИБ, почему крупному бизнесу лучше инвестировать в безопасность, чем бороться с последствиями взломов, мы поговорили с Максимом Фокиным, директором департамента сертификации и безопасной разработки ОС «МСВСфера».

Читать
Подробнее
Ломаем стереотипы: 15 вопросов архитектору Linux

Инферит ОС

Ломаем стереотипы: 15 вопросов архитектору Linux

Инферит ОС

Ломаем стереотипы: 15 вопросов архитектору Linux

Архитектор Linux — кто это? Что из себя представляет дистрибутив ОС Linux и чем отличается от Windows? Что изменилось за последние 30 лет? Кому нужна эта операционная система? Как долго нужно учиться, чтобы стать архитектором? Эти и другие вопросы «Компьютерра» задала Леониду Кантеру, архитектору по интеграции ОС «МСВСфера» от «Инферит». Погружаемся в историю и узнаём, как выглядели операционные системы 30 лет назад и как Linux может стать ведущей ОС в России с уходом Microsoft с этого рынка.

Читать
Подробнее