骇客瞄准Linux系统植入後门程式,台湾也在受害之列 | iThome安全厂商Intezer发现一只全新後门程式,冒充Linux平台的Policykit精灵程式,专门攻击Linux伺服器和电脑安全厂商Intezer发现一只全新後门程式,专门攻击Linux伺服器和电脑。由於它使用XOR作为网路资料的加密演算法,研究人员将之称为RedXOR。根据RedXOR攻击的策略、手法和程序,研究人员研判它出自中国骇客组织Winnti之手。(图片来源/Intezer),中国骇客疑似发展出一种相当复杂的後门程式,正锁定Linux伺服器及终端发动攻击,台湾也成为攻击目标之一。

安全厂商Intezer近日发现一只全新後门程式,冒充Linux平台的Policykit精灵程式,专门攻击Linux伺服器和电脑。由於它使用XOR作为网路资料的加密演算法,研究人员将之称为RedXOR。同时,根据RedXOR攻击的策略、手法和程序,研究人员研判它是由一个高调的中国骇客组织Winnti所开发。

研究人员最早是在扫瞄平台VirusTotal平台,发现由受害者上传的RedXOR样本。这些样本的来源包括台湾和印度,两者向来是中国骇客攻击的目标。虽然VirusTotal上有超过五、六十种扫毒引擎,但在3月10日时对这些样本却只有很低的侦测率,62个引擎只有1个侦测到异状。

RedXOR是以GCC组译工具在旧版Red Hat Enterprise Linux上组译而成,显示RedXOR是为攻击旧版Linux系统而设计,而且此时仍然持续活动中。

分析样本Intezer研究人员发现,RedXOR和名为Winnti的中国骇客组织使用过的恶意程式,包括PWNLNX後门以及殭屍网路病毒XOR.DDOS及Groudhog有许多重叠之处,包括都使用旧的开源核心rootkit 程式Adore-ng、功能命令方式、建立的攻击架构、运作及档案结构很类似,也都使用XOR演算法为网路流量编码加密。他们相信,RedROX可能是Winnti发展出的最新攻击工具。

Winnti是受中国政府支持的骇客组织,它有很多别名,也被称为APT41、Blackfly、Barium。

Winnti多次攻击台湾、美国及东南亚的游戏业者以窃取游戏程式码,也会对软体、硬体厂商发动供应链攻击,,德国公司如西门子、Teamviewer等都曾遭到Winnti的毒手。

研究人员指出,RedROX具有隐匿行踪、在受害者系统内蒐集用户ID、密码及系统资讯,并与外部C&C伺服器建立加密连线传送资料,还能执行C&C伺服器传送的指令,以及远端更新自我功能。

针对RedXOR,研究人员提醒,为防止企业网路遭到感染,应仅从信赖的云端服务下载可信赖的程式码。

但Intezer进一步指出,过去10年以来,Linux系统已成为大型APT(进阶渗透威胁)活动,以及以间谍为目的恶意程式的目标,有些高端的国家骇客也已针对Linux发展出攻击武器,未来Linux系统将面临更复杂且更频繁的威胁。

除Linux系统外,本月初微软公布Exchange Server的ProxyLogon漏洞後,Winnti也是骇进Exchange Server的骇客组织之一。

资安人员用虚拟环境确认钓鱼网站的做法恐失效,因为骇客用一段JavaScript就可以回避!