AccueilServeur d'impressionUtilisateurs Linux et Windows ciblés par un nouveau malware ACBackdoor – Bien choisir son serveur d impression
Serveur d'impression

Utilisateurs Linux et Windows ciblés par un nouveau malware ACBackdoor – Bien choisir son serveur d impression

Par Titanfall , le 8 décembre 2019 - 2 minutes de lecture

Utilisateurs Linux et Windows ciblés par un nouveau malware ACBackdoor

Les chercheurs ont découvert une nouvelle porte dérobée multi-plateforme qui infecte les systèmes Windows et Linux permettant aux attaquants d'exécuter du code malveillant et des binaires sur les machines compromises.

Le malware surnommé ACBackdoor est développé par un groupe de menaces expérimenté dans le développement d'outils malveillants pour la plate-forme Linux basé sur la complexité plus élevée de la variante Linux, comme l'a découvert le chercheur en sécurité d'Intezer Ignacio Sanmillan.

"ACBackdoor fournit l'exécution arbitraire des commandes shell, l'exécution binaire arbitraire, la persistance et les capacités de mise à jour", a constaté le chercheur d'Intezer.

Vecteurs d'infection et logiciels malveillants portés

Les deux variantes partagent le même serveur de commande et de contrôle (C2), mais les vecteurs d'infection qu'ils utilisent pour infecter leurs victimes sont différents: la version Windows est poussée par malvertising à l'aide du Fallout Exploit Kit tandis que la charge utile Linux est abandonnée via un système de livraison inconnu.

La dernière version de ce kit d'exploitation, analysée par le chercheur nao_sec en septembre, cible les vulnérabilités CVE-2018-15982 (Flash Player) et CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) pour infecter les visiteurs des sites contrôlés par des attaquants avec malware.

Heureusement, "la variante Windows de ce malware ne représente pas une menace complexe en termes de malware Windows", explique Sanmillan.

La version Windows d'ACBackdoor semble également avoir été portée à partir de celle de Linux, car le chercheur a découvert qu'ils partagent plusieurs chaînes spécifiques à Linux comme des chemins appartenant à un système de fichiers Linux ou des noms de processus de thread noyau.

Taux de détection de la variante ACBackdoor Linux "height =" 182 "src =" data: image / gif; base64, R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw == "width =" 731 "data-src =" https://www.bleepstatic.com/images/news/ u / 1109292 / novembre 2019 / ACBackdoor Linux variant detection rate.png "class =" b-lazy "/> <figcaption><strong>Taux de détection des variantes d'ACBackdoor Linux</strong></figcaption></figure> </div> <p>En plus d'infecter les victimes via un vecteur inconnu, le binaire malveillant Linux est détecté par un seul des moteurs d'analyse anti-malware sur VirusTotal au moment de la publication de cet article, tandis que celui de Windows est détecté par 37 des 70 moteurs.</p> <p>Le binaire Linux est également plus complexe et possède des capacités malveillantes supplémentaires, bien qu'il partage un flux de contrôle et une logique similaires avec la version Windows.</p> <p>"L'implant Linux a été sensiblement mieux écrit que l'implant Windows, mettant en évidence l'implémentation du mécanisme de persistance ainsi que les différentes commandes de porte dérobée et les fonctionnalités supplémentaires non vues dans la version Windows telles que la création de processus indépendante et le changement de nom de processus", indique le rapport.</p> <h2>Capacités malveillantes de porte dérobée</h2> <p>Après avoir infecté l'ordinateur d'une victime, le logiciel malveillant commencera à collecter des informations système, y compris son architecture et son adresse MAC, à l'aide d'outils spécifiques à la plate-forme pour le faire, avec les fonctions de l'API Windows sur Windows et le programme UNIX uname couramment utilisé pour imprimer les informations système.</p> <p>Une fois les tâches de collecte d'informations terminées, ACBackdoor ajoutera une entrée de registre sous Windows et créera plusieurs liens symboliques ainsi qu'un script initrd sous Linux pour gagner en persistance et se lancer automatiquement au démarrage du système.</p> <p>La porte dérobée tentera également de se camoufler en tant que processus MsMpEng.exe, l'utilitaire antimalware et antispyware Windows Defender de Microsoft, tandis que sous Linux, elle se déguisera en utilitaire Ubuntu UpdateNotifier et renommera son processus en <em>[kworker/u8:7-ev]</em>, un thread du noyau Linux.</p> <div style=
Les variantes Windows et Linux contrôlent le flux s "height =" 379 "src =" data: image / gif; base64, R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw == "width =" 487 "data-src =" https://www.bleepstatic.com/images/ news / u / 1109292 / novembre 2019 / Les variantes Windows et Linux contrôlent le flux s.png "class =" b-lazy "/> <figcaption><strong>Les variantes Windows et Linux contrôlent les flux</strong><em> (Intezer)</em></figcaption></figure> </div> <p>Pour communiquer avec son serveur C2, les deux variantes de logiciels malveillants utilisent le protocole HTTPS (Hypertext Transfer Protocol Secure) comme canal de communication, toutes les informations collectées étant envoyées sous forme de charge utile codée BASE64.</p> <p>ACBackdoor peut recevoir les informations, exécuter, exécuter et mettre à jour les commandes du serveur C2, permettant à ses opérateurs d'exécuter des commandes shell, d'exécuter un binaire et de mettre à jour le malware sur le système infecté.</p> <p>"Parce qu'aucune information attribuable n'est documentée sur cette porte dérobée, il est possible qu'un groupe de menaces Linux connu mette à jour son jeu d'outils", conclut Sanmillan.</p> </div> </pre> <div style='text-align:center' class='yasr-auto-insert-visitor'><!--Yasr Visitor Votes Shortcode--><div id='yasr_visitor_votes_e97715fb0e65d' class='yasr-visitor-votes'><div class=Click to rate this post!
[Total: 0 Average: 0]

Articles relatifs:

Titanfall

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.