我们决定调查一群可疑的3950947b0f.u.fdmpkg[.]org

•c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org

•0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org

•c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org

对于安全研究人员来说,这些域名令人担忧,因为它们可能表明恶意软件使用域名生成算法进行C2 通信。因此,我们决定仔细研究一下fdmpkg[.]org 域名。

恶意Debian 代码库

我们发现相关域名有一个deb.fdmpkg[.]org 子域名。在浏览器中输入子域名,显示如下网页:

图1

如页面所示,该子域声称托管“免费下载管理器”软件的Debian 代码存储库。经过进一步分析,我们发现该软件的Debian包可以从https://deb.fdmpkg[.]org/freedownloadmanager.deb网址下载。该软件包实际上包含在安装过程中执行的受感染的postinst 脚本。该脚本将两个ELF 文件放入路径/var/tmp/crond 和/var/tmp/bs 中。然后,它通过创建每10 分钟启动/var/tmp/crond 文件的cron 任务(存储在/etc/cron.d/collect 文件中)来建立持久性。

图2

基于DNS 的后门

一旦安装了恶意软件包,可执行文件/var/tmp/crond 就会在每次启动时通过cron 运行。该可执行文件是一个后门,不会从外部库导入任何函数。为了访问Linux API,它在静态链接的Dietlibc 库的帮助下激活系统调用。

一旦启动,后门就会向域名发出A 类DNS 请求。为了响应此请求,后门会收到两个IP 地址,这些地址编码了辅助C2 服务器的地址和端口。我们的研究返回了以下地址:

•172.111.48[.]101

•172.1.0[.]80

上面列表中的第一个IP 地址是辅助C2 服务器的IP 地址,而第二个地址包含连接端口(在第三个和第四个八位字节中编码)和连接类型(在第二个八位字节中编码)。字节)。

解析DNS 请求的响应后,后门启动反向shell,使用辅助C2 服务器进行通信。通信协议为SSL 或TCP,具体取决于连接类型。以SSL 为例,crond 后门启动/var/tmp/bs 可执行文件并将所有进一步的通信委托给它。否则,crond 后门本身会创建一个反向shell。

重击窃取者

在发现crond 后门创建了反向shell 后,我们决定研究攻击者如何使用该shell。为此,我们在恶意软件分析沙箱中安装了受感染的免费下载管理器包。在分析crond 生成的流量后,我们确定攻击者在沙箱中部署了Bash 窃取程序。该窃取程序收集各种数据,例如系统信息、浏览历史记录、保存的密码、加密货币钱包文件以及知名云服务(AWS、Google Cloud、Oracle Cloud Infrastructure 和Azure)的凭据。

图3

从受感染机器收集信息后,窃取者从C2 服务器下载上传工具二进制文件并将其保存到/var/tmp/atd。然后,它使用该二进制文件将窃取者的执行结果上传到攻击者的基础设施。

我们没有通过反向shell 观察到任何其他活动,因此整个感染链可以用下图描述:

图4

揭开感染途径的秘密

免费下载管理器后门:针对Linux 系统的潜在供应链攻击

在分析了感染链的所有组成部分之后,我们想要了解受感染的Debian 软件包是如何分发给受害者的。我们查看了免费下载管理器的官方网站(freedownloadmanager[.]org)。经发现,该网站可下载的软件包原本托管在files2.freedownloadmanager[.]org域名上,并未被植入后门。

然后我们决定对fdmpkg[.]org 进行开源审查。审查发现StackOverflow 和Reddit 等网站上有十多篇帖子,用户一直在讨论受感染的免费下载管理器发行版引起的问题,但没有意识到他们实际上已成为该恶意软件的受害者。这些职位是在2020年至2022年的三年期间内设立的。

在Unix Stack Exchange 上的一个这样的线程(https://unix.stackexchange.com/questions/590510/kubuntu-20-04-shutdown-reboot-hangs-at-waiting-for-process-crond) 中,发布者抱怨“等待process: crond”消息阻止计算机关闭:

图5

处理相同问题的用户回复了该帖子,认为该问题是由免费下载管理器软件引起的。他们建议删除三个文件:/etc/cron.d/collect、/var/tmp/crond 和/var/tmp/bs。然而,没有人提到这三个文件是恶意的。

图6

在2020 年创建的另一个帖子中,一位Reddit 用户询问是否可以在不运行postinst 脚本的情况下安装免费下载管理器。用户不知道,该脚本实际上包含恶意软件。

图7

另外,海报粘贴了剧本内容;另一位Reddit 用户在评论中指出,这可能是一个恶意脚本。然而,这些用户并没有识别分发受感染软件包的网站,也没有发现该脚本执行的功能。

我们还在Reddit 上发现了一篇帖子,提到该软件的官方网站早在2015 年就开始传播恶意软件。不过,后来发现该帖子中描述的恶意软件与我们发现的活动无关。

图8

社交网络上的所有这些帖子让我们相信恶意Debian 软件包可能通过freedownloadmanager[.]org 网站通过供应链攻击进行分发。因此,我们决定寻找进一步的事实来证明或反驳这一说法。

意外重定向

在查看YouTube 上Free Download Manager 上的视频时,我们发现了几个演示如何在Linux 计算机上安装该软件的教程。我们观察到所有这些视频中都出现了以下行为:

•然后他们单击Linux版本软件的“下载”按钮;

•它们被重定向到恶意的https://deb.fdmpkg[.]org/freedownloadmanager.deb URL,该URL 托管受感染版本的Free Download Manager。

图9

我们还注意到,并非在所有情况下都会重定向到恶意deb.fdmpkg[.]org 域。在同一时间段发布的另一个视频中,用户单击该软件网站上的“下载”按钮,最终从合法网站下载免费下载管理器。

因此,恶意软件开发人员编写的恶意重定向可能会以某种程度的概率出现,或者基于潜在受害者的数字指纹。

我们进一步检查了合法的免费下载管理器网站,看看软件开发人员是否意识到他们的网站可能会受到损害。在该软件博客的2021 年评论中,一名用户抱怨说,他观察到对5d6167ef729c91662badef0950f795bf362cbb99.u.fdmpkg[.]org 域名的访问。用户blogadmin回复此评论称,免费下载管理器与该域名无关,建议仅使用该软件的正式版本:

图10

然而,没有人继续发现该用户最终是如何安装这个可疑版本的免费下载管理器的。因此,该软件的官方网站至少在2022 年之前都会继续分发恶意Debian 软件包。

后门的由来

在确定了受感染的免费下载管理器软件包的分发方式后,我们决定检查我们研究期间发现的植入程序是否与其他恶意软件样本存在代码重叠。事实证明,crond 后门是Bew 后门的修改版本。卡巴斯基安全软件Linux 版自2013 年以来一直在检测它的变种。

免费下载管理器后门:针对Linux 系统的潜在供应链攻击

图11

2013版Bew的代码(左,MD5: 96d8d47a579717223786498113fbb913)和crond后门的代码(右,MD5: 6ced2df96e1ef6b35f25ea0f208e5440)

Bew 后门已被多次分析,首次分析结果于2014 年发布。此外,CERN 在2017 年发布了有关使用Bew 的BusyWinman 活动的信息。根据CERN 的说法,Bew 感染是通过偷渡式下载发生的。

至于窃取程序,Yoroi 在2019 年描述了它的早期版本。它是在利用Exim 邮件服务器中的漏洞后使用的。

图12

2019 年描述的Bash 窃取程序(左,MD5: 8C7EFB0493B6FB805B2C2F0593DE0AB1)和2022 年FDM 活动中使用的窃取程序(右,MD5: AD7F99D44931489B2C38DF7A5A166C4D)

为什么没有更早地发现恶意软件软件包?

在此活动中观察到的恶意软件自2013 年以来就已为人所知。此外,从社交网络上的多个帖子可以看出,这些植入程序具有很强的欺骗性。我们观察到该活动的受害者遍布世界各地,包括巴西、中国、沙特阿拉伯和俄罗斯,考虑到这些事实,恶意免费下载管理器软件包三年多来都没有被发现,这似乎令人难以置信。

我们将其归因于以下几个因素:

•与Windows相反,Linux恶意软件很少被观察到;

•存在一定的概率感染恶意Debian软件包:一些用户收到受感染的软件包,而另一些用户最终下载合法的软件包;

• 与Free Download Manager 讨论问题的社交网络用户并未怀疑该问题是由恶意软件引起的。

尽管该活动目前尚未活跃,但Free Download Manager 的案例表明,用肉眼很难检测到Linux 系统上正在进行的网络攻击。因此,Linux系统(桌面和服务器)必须配备可靠、高效的安全解决方案。

妥协指标

•文件校验和

b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d(恶意Debian 软件包)

2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349(crond后门)

93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea(bs后门)

d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5(atd上传工具)

•文件路径

/etc/cron.d/收集

/var/tmp/crond

/var/tmp/bs

/var/tmp/atd

用户评论

莫飞霜

免费下载的管理器居然有后门,这让我对免费软件的信任都崩塌了。

    有16位网友表示赞同!

站上冰箱当高冷

Linux 系统的安全又一次被挑战,供应链攻击真是防不胜防。

    有18位网友表示赞同!

夏至离别

这后门是故意植入的吗?感觉这是针对Linux系统的恶意攻击。

    有18位网友表示赞同!

此刻不是了i

竟然在免费软件里搞这些猫腻,这种手段也太低级了。

    有10位网友表示赞同!

命里缺他

Linux用户要注意了,免费软件可能不是那么安全。

    有6位网友表示赞同!

你是梦遥不可及

这后门的存在,让我开始重新考虑我的系统安全配置。

    有12位网友表示赞同!

苍白的笑〃

供应链攻击也太可怕了,这让我对整个开源社区都产生了怀疑。

    有10位网友表示赞同!

♂你那刺眼的温柔

Linux系统虽然强大,但安全漏洞总是让人防不胜防。

    有15位网友表示赞同!

迷路的男人

这后门如果被恶意利用,后果不堪设想。

    有20位网友表示赞同!

大王派我来巡山!

希望Linux社区能尽快解决这个问题,保护我们的系统安全。

    有16位网友表示赞同!

面瘫脸

免费软件的诱惑太大,有时候我们忽略了其中的隐患。

    有20位网友表示赞同!

笑叹★尘世美

感觉现在免费软件都不安全了,以后得多加小心。

    有17位网友表示赞同!

初阳

Linux系统的用户们,赶紧检查一下你的管理器是否有后门吧。

    有16位网友表示赞同!

微信名字

这后门的存在,让我对开源软件的信任度大打折扣。

    有7位网友表示赞同!

屌国女农

免费软件也有后门,看来安全意识得加强。

    有17位网友表示赞同!

败类

Linux用户要提高警惕,不要轻易下载来路不明的软件。

    有15位网友表示赞同!

封心锁爱

供应链攻击真是无处不在,我们必须时刻保持警惕。

    有12位网友表示赞同!

在哪跌倒こ就在哪躺下

这后门事件让我对Linux系统的安全性产生了担忧。

    有8位网友表示赞同!

命硬

希望这次事件能提醒大家,不要轻信免费软件。

    有9位网友表示赞同!

沐晴つ

Linux用户们,让我们一起努力,共同守护我们的系统安全。

    有13位网友表示赞同!

标签: