Novo Backdoor Auto-Color no Linux ameaça universidades e órgãos governamentais nos EUA
- Cyber Security Brazil
- 26 de fev.
- 3 min de leitura
Entre novembro e dezembro de 2024, pesquisadores da Unit 42, da Palo Alto Networks, identificaram um novo backdoor para Linux, chamado Auto-Color, sendo usado em ataques direcionados a universidades e órgãos governamentais na América do Norte e Ásia. O malware se destaca por ser altamente furtivo e difícil de remover, permitindo que hackers mantenham acesso aos sistemas infectados por longos períodos.
O Auto-Color compartilha algumas características com a família de malwares Symbiote Linux, documentada pela BlackBerry em 2022, mas é uma ameaça distinta, com técnicas avançadas de evasão e persistência.
Uma Ameaça Invisível ao Linux
Ainda não se sabe exatamente como ocorre a infecção inicial, mas o ataque começa com a execução de um arquivo disfarçado sob nomes inofensivos como "door", "egg" e "log". Se executado com privilégios de root, o malware instala uma biblioteca maliciosa (libcext.so.2), se passando pela legítima libcext.so.0, e copia-se para o diretório /var/log/cross/auto-color. Além disso, modifica o arquivo /etc/ld.preload para garantir que sua execução ocorra antes de qualquer outra biblioteca do sistema.
Caso o acesso root não esteja disponível, o malware ainda executa suas funções, mas sem os mecanismos de persistência, permitindo que o hacker mantenha acesso remoto temporário, o que pode ser suficiente para escalar privilégios e obter controle total da máquina.
O Auto-Color utiliza um algoritmo de criptografia personalizado para ocultar os servidores de comando e controle (C2), configurando um sistema de validação por meio de um valor aleatório de 16 bytes. A criptografia também protege os dados de configuração e o tráfego de rede, tornando sua detecção ainda mais desafiadora, pois a chave de criptografia muda dinamicamente a cada requisição.
Após estabelecer a conexão, os hackers podem executar uma série de ações, incluindo:
Abrir um shell reverso para acesso remoto total ao sistema.
Executar comandos arbitrários.
Criar ou modificar arquivos para expandir a infecção.
Operar como proxy, encaminhando tráfego malicioso.
Alterar dinamicamente suas configurações.
Command IDs | Category Name | Description |
0, 1, 2, 3, 0xF | General options and kill switch | Sends host information and includes a kill switch to uninstall itself from the system |
0x100 | Reverse shell | Creates a reverse shell for the remote server to interact with the victim machine directly |
0x2XX | File operations and manipulation | Create and/or modify files and execute programs locally |
0x300 | Network proxy | The infected machine will act as a middleman proxy for any connections between the remote target and the IP address given in the argument |
0x4XX | Global payload manipulation | Sends and manipulates global configuration data mentioned previously |
O malware também possui funcionalidades semelhantes a rootkits, interceptando chamadas de sistema por meio da manipulação de funções da libc. Com isso, ele consegue ocultar conexões com servidores C2 ao modificar o arquivo /proc/net/tcp. Além disso, há um "interruptor de desligamento" embutido, permitindo que os hackers apaguem rapidamente todos os vestígios da infecção para dificultar investigações forenses.
Como se Defender?
Devido à sua natureza furtiva e capacidade de controle remoto, o Auto-Color representa uma ameaça grave para sistemas Linux, especialmente em ambientes acadêmicos e governamentais. A Unit 42 recomenda monitorar alterações no arquivo /etc/ld.preload, investigar anomalias no arquivo /proc/net/tcp e utilizar soluções de detecção comportamental para identificar atividades suspeitas.
Além disso, os pesquisadores disponibilizaram indicadores de comprometimento (IoCs) para que administradores possam inspecionar logs do sistema e tráfego de rede, identificando conexões suspeitas com servidores C2.
Via - BC
Comments