火绒安全 又一种后门病毒针对Linux系统,火绒可拦截 四川 成都 科汇科技 IT服务商
近期,火绒威胁情报系统监测到一种针对Linux系统的后门型病毒,经排查分析后,确定其与HelloBot家族有关。HelloBot是一个针对Linux系统的恶意软件家族,执行远程控制受害者计算机等恶意活动,因其配置测试中输出“hello world”而得名。
该病毒自2019年被披露后,被多个犯罪团伙和APT组织使用,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请企业用户及时更新病毒库以进行防御。
该病毒被激活后,会释放“worker”文件并为其进行配置,后者在受害者电脑上执行关键操作。不同的配置会导致不同的恶意行为,包括进程伪装、备份文件、防火墙设置和远程控制等。该病毒执行流程,如下图所示:
一、样本分析
该类病毒是一个由配置主导的成熟复杂的后门程序,不同的配置有不同的执行结果,这里仅以当前样本配置的执行过程进行阐述:
在观察中发现样本有四个启动参数:--builder、--test、--shell、--dump。
--builder 需要传入指定的配置和要更新的样本文件名 filename,用于重新构建服务。
--test 只是简单地测试样本执行输出。
--shell 开启一个 shell 进行连接,需要输入密码进行 md5 校验,md5 解出来的值为 "tk_shell"。
--dump 后接要导出配置的样本名,用于显示当前样本的配置信息