24/3/2025
Вредоносное программное обеспечение для Linux продолжает развиваться, становясь всё более сложным и скрытным. Бэкдор Auto-сolor, обнаруженный исследователями из Palo Alto Networks, представляет собой продвинутую малварь с механизмами уклонения от обнаружения и возможностью полного захвата системы. В этом материале мы детально разберём её работу, методы распространения, угрозы для корпоративных пользователей и эффективные стратегии защиты.
В настоящее время неизвестно, как исходный исполняемый файл попадает на целевые компьютеры, но предполагается, что пользователь должен сам запустить этот исполняемый файл на своём компьютере под управлением ОС Linux. Это напоминает атаки на ОС Windows, где заражение часто происходит через социальную инженерию.
Мы можем предположить следующие способы распространения:
Первоначально исполняемый файл может иметь любое имя - door или egg. Если пользователь не имеет прав администратора, вредонос устанавливает соединение с управляющим сервером (С2 - command and control) и позволяет получить доступ к любым файлам и данным, доступным этому пользователю. Если же у пользователя есть права администратора, малварь копирует и переименовывает себя в /var/log/cross/auto-color
и устанавливает библиотеку libcext.so.2
, которая затем дописывается в файл /etc/ld.preload
. Это приводит к тому, что все исполняемые файлы, запускаемые в этой системе, начинают использовать функции из этой библиотеки. Часть этих функций подменяет функции системной библиотеки glibс, что позволяет скрыть малварь от обнаружения.
/etc/ld.so.preload
— внедрение библиотеки в адресное пространство всех процессов.После установки Auto-сolor даёт злоумышленникам полный контроль над заражённой машиной. Возможности малвари включают:
Удаление бэкдора с работающей системы без специализированного программного обеспечения затруднено, поскольку он вносит изменения в системные файлы и активно следит за своим присутствием. Но можно загрузить заражённый компьютер с установочного носителя в режиме “Устранение неполадок” и удалить с жесткого диска все компоненты вредоноса.
На момент анализа официальных случаев заражения в России не зафиксировано, в основном малварь использовалась в атаках на университеты и государственные учреждения Северной Америки и Азии в ноябре и декабре 2024 года и вероятность её повторного появления маловероятна. Однако угроза может в любой момент проявиться в слегка видоизменённом виде, в том числе и в России: например, могут использоваться другие пути и имена файлов.
Работая над "МСВСфера", мы внедряем встроенные защитные механизмы, например:
Но не менее важной является быстрота выпуска обновлений. Например, для "МСВСфера" мы регулярно обновляем браузер Chromium, закрывая потенциальные уязвимости до их активной эксплуатации. Но нужно понимать, что все эти усилия не дают гарантии без соблюдения правил кибербезопасности пользователями.
Признаки присутствия Auto-color:
Этот бэкдор демонстрирует эволюцию атак на Linux. Несмотря на репутацию защищённой платформы, OS Linux требует грамотной настройки и своевременных обновлений.
Основные выводы:
Auto-color — лишь один из примеров того, какие угрозы существуют для Linux. И чем раньше компании внедрят превентивные меры, тем выше шансы не стать жертвой. Больше о малвари можно узнать здесь (на английском языке).
В СССР понимали важность применения новейших технологий в промышленном производстве, в том числе — электронных вычислительных машин. В 1950-х годах здесь задумывались о создании аналога интернета. А 1 сентября 1985 года СССР стал первой в мире страной, где урок информатики в школах стал обязательным. О том, как проходила компьютеризация в СССР, Иван Сычев, руководитель PR-отдела «Инферит», рассказал в статье на «Компьютерре» в спецпроекте "История ИТ"
Современная корпоративная среда напоминает поле боя, где киберпреступники и защитники ведут непрерывную борьбу за конфиденциальные данные. Как бизнесу выстроить надежную защиту, сочетая своевременные обновления, эффективные патчи и грамотные действия сотрудников? Эксперты «Инферит» рассказали в новом материале на «Компьютерре».
Российский бизнес пересматривает подходы к партнёрству: на смену разовым сделкам приходит стратегическая синергия. Глубокая интеграция, индивидуальные решения и совместное создание ценности становятся ключом к успеху. Как выстроить партнёрство, где 1+1=11? Читайте в статье Анны Шадриной, руководителя регионального развития «Инферит».