AhnLab安全情报中心(ASEC)此前在博客“针对韩国和泰国的APT攻击中使用的BlueShell恶意软件”中报道了针对泰国和国内Linux系统的攻击中使用的BlueShell恶意软件[1] 。攻击者定制了BlueShell这种后门恶意软件,并利用它进行攻击,设置条件使其只能在特定系统上运行。
即使在该博客发布后,由同一攻击者创建的 BlueShell 恶意软件仍然会通过 VirusTotal 被收集。虽然检查Linux系统的主机名作为检查攻击目标的条件,但仅凭该信息很难指定攻击目标,并且仅凭恶意代码无法确认初始渗透方法等相关信息。然而,随着伪装成 id 命令的新的 dropper 恶意软件被确认,并且其他恶意软件和 C&C 服务器也被确认,这里我们分析和整理了额外收集的恶意软件以及上一篇博客中提到的 BlueShell 恶意软件。
1.BlueShell
BlueShell是一款用Go语言开发的后门恶意软件,发布在GitHub上,支持Windows、Linux和Mac操作系统。包含说明的ReadMe文件是中文的,这表明创建者可能是中国用户。BlueShell继续用于针对国内目标的攻击,之前的博客介绍了Dalbit攻击组织和未知攻击者的案例。作为后门恶意软件,它可以接收来自C&C服务器的命令并执行攻击者的恶意命令,从而使安装BlueShell的系统的控制权被攻击者接管。
图 1. GitHub 上发布的 BlueShell 后门
BlueShell 功能简单,支持 TLS 加密与 C&C 服务器通信,以绕过网络检测。接收到攻击者的命令后可执行的功能包括远程命令执行、文件下载/上传和Socks5代理。
BlueShell有三个配置数据:C&C服务器的IP地址、端口号和等待时间。一般来说,在创建恶意代码时,配置数据被硬编码并存储在二进制文件中,然后通过 init() 函数中的初始化过程使用。
2. 攻击中使用的BlueShell分析
2.1. 定制BlueShell
与常规 BlueShell 不同,攻击中使用的定制 BlueShell 后门在内部二进制文件中不包含 C&C 地址等配置数据。相反,在执行期间接收到的环境变量被读取并解码为 Base64 以获取配置数据。目前确认的环境变量名称为“lgdt”和“wtim”。
图 2. 解密环境变量并将其用作配置数据的例程
解码环境变量时,有四个参数,按顺序如下表所示。第四个参数指运行条件,如果有四个参数,则获取Linux系统的主机名,并与第四个参数接收到的字符串进行比较,如果不相同则终止。换句话说,定制的BlueShell本身无法提供有关C&C地址或攻击目标系统的信息,而执行它的Dropper包含配置信息。
表 1. 自定义 BlueShell 配置数据
图 3. 运行状况检查程序
2.2. BlueShell 植入恶意软件
在执行过程中,释放器通过使用 0x63 密钥进行异或来解密以加密形式存储在内部 .data 部分中的 BlueShell。解密后的数据是压缩形式,解压后创建在“/tmp/.ICECache”等路径中。
图 4. Dropper 的主例程
然后,释放器执行并删除创建的 BlueShell,因此 BlueShell 仅在内存中运行。请注意,这不是简单的执行形式,而是传递字符串“/usr/libexec/rpciod”作为参数,而不是现有路径,以便在进程中确认类似于正常进程的伪装进程名搜索命令。
图 5. BlueShell 后门伪装成正常进程运行
另外,在执行之前,会传递一个包含配置数据的环境变量,该环境变量被上面讨论的BlueShell后门解密,并用作C&C服务器地址和运行条件。
图 6. 包含配置数据的环境变量
2.3. 顶级滴管恶意软件
此次确认的类型不仅是上面的两个恶意代码,而且还是另一个创建dropper的顶级dropper。顶级植入恶意软件以“id”名称接收,顾名思义,它伪装 Linux“id”命令并安装 BlueShell 植入程序,并最终安装 BlueShell 后门恶意软件。虽然具体情况尚未确认,但推测攻击者将“id”命令所在的二进制文件更改为恶意代码以保持持久性,使得恶意代码在每次执行该命令时都不断执行。
恶意代码执行时,首先读取自身,将其存储在内存中,然后删除自身。然后,它会写入并执行一个与当前正在运行的进程同名的文件,这就是上面讨论的 BlueShell dropper 恶意软件。作为参考,该恶意软件会检查“/usr/libexec/rpciod”进程(BlueShell 的伪装名称)当前是否正在运行,只有在没有运行时才会运行。如果自删除失败,则恶意代码将安装在“/tmp/.X15-lock”路径中。
之后,再次删除创建的文件,这次以相同的名称再次创建负责“id”命令的可执行文件并运行。与上面讨论的 BlueShell 滴管不同,上层滴管的特点是保存二进制文件而不对其进行加密。
图 7. 二进制文件中包含的 BlueShell dropper 和 ls 命令二进制文件。
结果,输出了“id”命令的实际结果,用户将认识到“id”命令被正常使用。当到目前为止的过程完成时,“id”文件也将被删除,并且内存中保存的现有文件将被重写到相同的路径。
图8. 恶意代码执行结果
如果恶意软件位于“/bin/id”等正常路径中,每当系统中的其他进程或用户使用“id”命令时,BlueShell就会在显示正常命令执行结果的同时执行。
3. 已确认恶意软件的分类
在这里,我们总结了迄今为止发现的 BlueShell 恶意软件。攻击者创建了恶意软件并在攻击中使用了至少七次,而且其形式几乎相似。从 VirusTotal 上传恶意软件的国家来看,大多数推测成为攻击目标的国家都是韩国,而且攻击似乎至少从 2022 年左右持续到 2023 年。
表2. 恶意代码分类
作为参考,用 Go 语言开发的 BlueShell 二进制文件包含源代码路径信息。这也显示了攻击者的工作路径,在某些情况下,目录名称是按日期给出的。上表中,攻击日期以此为依据进行分类,如果无法获得信息,则根据收集日期进行分类。
图 9. Go 源代码路径信息
4. 结论
近期,针对国产Linux系统的持续攻击已被证实。虽然具体情况未知,但其特点是使用了攻击者创建的BlueShell恶意软件。BlueShell 是一种后门恶意软件,当安装在系统上时,它可以通过接收攻击者的命令来执行各种恶意操作。换句话说,安装了BlueShell就意味着受感染系统的控制权已被攻击者劫持。
为了防止此类安全威胁,必须检查易受攻击的环境设置,并且必须始终将相关系统更新到最新版本以防止攻击。另外,您必须小心,通过将V3更新到最新版本来提前防止恶意软件感染。
文件诊断
– Trojan/Linux.BlueShell.XE216 (2023.02.20.03)
– Trojan/Linux.Agent (2023.08.26.00)
– Dropper/Linux.BlueShell.2904696 (2023.09.04.02)
– Dropper/Linux.BlueShell.2888120 (2023.09. 09. 04.02)
– Dropper/Linux.BlueShell.2904376 (2024.02.05.02)
– Dropper/Linux.BlueShell.2978160 (2024.02.05.02)IoC
MD5
– 3f022d65129238c2d34e41deba3e24d3 : BlueShell Dropper (orbds) – 2022-09-01
– 30fe6a0ba1d77e05a19d87fcf99e7ca5 : BlueShell Backdoor (/tmp/.ICECache) – 2022-09-01
– 985000d076e7720660ab8435639d5ad5 : BlueShell Backdoor – 2022-12-09
– 2ed0a868520c31e27e69a0ab1a4e690d : BlueShell Dropper (rpcd) – 2023-02-02
– 425c761a125b7cb674887121312bd16c : BlueShell Backdoor (/tmp/kthread) – 2023-02-02
– d66b4b2bbe8e8cf98a5209fafa4fcb36 : BlueShell Backdoor – 2023-02-16
– 68f10e37a6b84ba0fb32902f35d0bfc2 : BlueShell Backdoor (sssd_pam.log) – 2023-03-15
– a197fe59fbbc6b8be991c521f885a70c : BlueShell Dropper (orbds) – 2023-11-14
– a27dcd68061e7bb78b149e528c66b063 : BlueShell Backdoor (/tmp/.ICECache) – 2023-11-14
– 86270bf40274cd3086baf215dcf5a145 : id Dropper (id) 2023-12-21
– 9f90d39a8dccfccd0bdfec9c7b4b7082 : BlueShell Dropper (id) – 2023-12-21
– b492233b1043ae9d899a130ac3fd06bb : BlueShell Backdoor (/tmp/.ICECache) – 2023-12-21C&C
– 202.87.223[.]124:443
– 20.200.213[.]72:3389参考链接: https://asec.ahnlab.com/ko/61293/
图片来源网络目标可联系删除
