在Securelist.com向Linux用户披露的一则令人震惊的消息中,与流行的“免费下载管理器”相关的Debian包被发现感染了恶意软件。该恶意软件潜伏在Deb包中,对毫无戒心的用户构成重大安全威胁。
在过去的几年里,Linux机器越来越多地成为各种威胁参与者的首要目标。令人震惊的是,SecureList的遥测数据显示,仅在2023年上半年,就有惊人的26万个独特的Linux样本与恶意软件和其他恶意活动有关。
这个问题的根源在于链接到域‘deb.fdmpkg[.]org’的Debian存储库。在Web浏览器中访问此域时,用户会遇到一个看似无害的网页。然而,在这个表面之下,麻烦正在酝酿之中。这个子域声称托管着一个Debian存储库,里面有许多人使用的知名软件“免费下载管理器”。
在进一步的调查中,该团队发现了一个可从‘https://deb.fdmpkg[.]org/freedownloadmanager.deb‘网址下载的Debian包,名为“免费下载管理器”。此程序包包含在安装过程中执行的受感染的‘postinst’脚本。此脚本将两个ELF文件存放在‘/var/tmp/crond’和‘/var/tmp/bs’目录中,通过存储在‘/etc/cron.d/Collect’中的cron任务建立持久性。该任务每10分钟启动一次‘/var/tmp/crond’文件。
重要的是要注意到,受感染的病毒包可以追溯到2020年1月24日。Postinst脚本包含俄语和乌克兰语的评论,提供了对恶意软件演变和攻击者动机的洞察。
安装后,该程序包释放一个可执行文件‘/var/tmp/crond’,该文件充当后门。值得一提的是,该可执行文件不依赖于外部库,而是使用静态链接的dietlibc库调用syscall来访问Linux API。
免费下载管理器官网
在启动时,后门程序会发起一个DNS请求,请求一个位于‘.u.fdmpkg[.]org处的十六进制编码的20字节字符串。’作为响应,它会收到两个IP地址,显示辅助命令和控制(C2)服务器的地址和端口。根据连接类型的不同,这种邪恶的通信协议可以是SSL或TCP。如果使用了SSL,则会启动‘/var/tmp/bs’进行进一步通信;否则,crond后门程序本身就会创建一个反向外壳。
在更深入地研究攻击者的战术后,该团队还发现,crond后门会产生一个反向外壳。这个阴险的窃取者收集一系列敏感数据,包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及AWS、Google Cloud、Oracle Cloud Infrastructure和Azure等云服务的凭据。
随后,窃取者从C2服务器下载一个上传程序二进制文件,并将其存储在‘/var/tmp/at.’中。然后,这种二进制代码被用来将窃取的数据传输到攻击者的基础设施,完成他们的邪恶操作。
令人惊讶的是,官方网站似乎没有托管恶意软件;随机选择的Linux用户被重定向到受攻击的Deb文件。在Reddit和StackOverflow上发现了一些帖子,用户报告了2020至2022年间免费下载管理器的可疑行为。
我建议你立即卸载‘免费下载管理器’Debian包,如果已经安装的话。
通过securelist.com博客
