24/3/2025
Вредоносное программное обеспечение для Linux продолжает развиваться, становясь всё более сложным и скрытным. Бэкдор Auto-сolor, обнаруженный исследователями из Palo Alto Networks, представляет собой продвинутую малварь с механизмами уклонения от обнаружения и возможностью полного захвата системы. В этом материале мы детально разберём её работу, методы распространения, угрозы для корпоративных пользователей и эффективные стратегии защиты.
В настоящее время неизвестно, как исходный исполняемый файл попадает на целевые компьютеры, но предполагается, что пользователь должен сам запустить этот исполняемый файл на своём компьютере под управлением ОС Linux. Это напоминает атаки на ОС Windows, где заражение часто происходит через социальную инженерию.
Мы можем предположить следующие способы распространения:
Первоначально исполняемый файл может иметь любое имя - door или egg. Если пользователь не имеет прав администратора, вредонос устанавливает соединение с управляющим сервером (С2 - command and control) и позволяет получить доступ к любым файлам и данным, доступным этому пользователю. Если же у пользователя есть права администратора, малварь копирует и переименовывает себя в /var/log/cross/auto-color
и устанавливает библиотеку libcext.so.2
, которая затем дописывается в файл /etc/ld.preload
. Это приводит к тому, что все исполняемые файлы, запускаемые в этой системе, начинают использовать функции из этой библиотеки. Часть этих функций подменяет функции системной библиотеки glibс, что позволяет скрыть малварь от обнаружения.
/etc/ld.so.preload
— внедрение библиотеки в адресное пространство всех процессов.После установки Auto-сolor даёт злоумышленникам полный контроль над заражённой машиной. Возможности малвари включают:
Удаление бэкдора с работающей системы без специализированного программного обеспечения затруднено, поскольку он вносит изменения в системные файлы и активно следит за своим присутствием. Но можно загрузить заражённый компьютер с установочного носителя в режиме “Устранение неполадок” и удалить с жесткого диска все компоненты вредоноса.
На момент анализа официальных случаев заражения в России не зафиксировано, в основном малварь использовалась в атаках на университеты и государственные учреждения Северной Америки и Азии в ноябре и декабре 2024 года и вероятность её повторного появления маловероятна. Однако угроза может в любой момент проявиться в слегка видоизменённом виде, в том числе и в России: например, могут использоваться другие пути и имена файлов.
Работая над "МСВСфера", мы внедряем встроенные защитные механизмы, например:
Но не менее важной является быстрота выпуска обновлений. Например, для "МСВСфера" мы регулярно обновляем браузер Chromium, закрывая потенциальные уязвимости до их активной эксплуатации. Но нужно понимать, что все эти усилия не дают гарантии без соблюдения правил кибербезопасности пользователями.
Признаки присутствия Auto-color:
Этот бэкдор демонстрирует эволюцию атак на Linux. Несмотря на репутацию защищённой платформы, OS Linux требует грамотной настройки и своевременных обновлений.
Основные выводы:
Auto-color — лишь один из примеров того, какие угрозы существуют для Linux. И чем раньше компании внедрят превентивные меры, тем выше шансы не стать жертвой. Больше о малвари можно узнать здесь (на английском языке).
Дизайн-язык — главный элемент современных технологических продуктов. Он определяет не только их внешний вид, но и его логику, удобство и даже функциональность. Как менялся дизайн-язык с 1980-х до сегодняшних дней? Какие элементы остаются ключевыми? Обсудили с Анастасией Астафьевой, графическим дизайнером «Инферит».
Сегодня информация — это ключевой актив для любого бизнеса. Вместе с тем растет профессионализм мошенников, у хакеров появляются все новые инструменты для взлома, включая ИИ. О том, за что отвечают специалисты по ИБ, почему крупному бизнесу лучше инвестировать в безопасность, чем бороться с последствиями взломов, мы поговорили с Максимом Фокиным, директором департамента сертификации и безопасной разработки ОС «МСВСфера».
Архитектор Linux — кто это? Что из себя представляет дистрибутив ОС Linux и чем отличается от Windows? Что изменилось за последние 30 лет? Кому нужна эта операционная система? Как долго нужно учиться, чтобы стать архитектором? Эти и другие вопросы «Компьютерра» задала Леониду Кантеру, архитектору по интеграции ОС «МСВСфера» от «Инферит». Погружаемся в историю и узнаём, как выглядели операционные системы 30 лет назад и как Linux может стать ведущей ОС в России с уходом Microsoft с этого рынка.