FakeFile:无需root权限的Linux木马后门


FakeFile木马在各类Linux计算机上开启后门——仅openSUSE系统幸免

该木马仅指向桌面系统,而非服务器或者物联网设备。

E安全10月22日讯 恶意软件开发者们开始将矛头指向Linux计算机,更准确地说是针对桌面系统而非服务器。此次其利用的新木马名为FakeFile,目前已经被应用于实时攻击。

俄罗斯杀毒软件供应商Dr. Web于今年十月发现了这一全新木马。该公司的恶意软件分析师们表示,该木马目前被归档为PDF、微软Office或者OpenOffice文件进行传播。

木马并不针对各openSUSE发行版

感染活动始于用户打开该文件之时。该木马会将自身复制至"< HOME >/.gconf/apps/gnome-common/gnome-common"并借此开始运作,而后打开一个诱饵文档以伪造正常操作结果,这也是其名称“FakeFile”的由来。

该木马还会将自身的一条快捷方式添加至用户的.profile与.bash_profile文件当中,这意味着其能够在PC重启时自动被加入引导。

奇怪的是,该木马的源代码中存在一条特殊的规则,即在发现当前Linux发行版为openSUSE时即停止感染传播。这种作法的可能理由之一在于,恶意软件作者本身使用的就是openSUSE发行版——但这仅仅只是推测,且目前此理论无法进行验证。

FakeFile是一种完全成熟的后门木马

一旦初步操作完成,真正“有趣”的部分将就此开始——FakeFile会联络其命令与控制服务器,旨在请求进一步指令。

根据该木马源代码中发现的线索,这一木马能够执行一系列操作,包括对文件进行重命名或者删除、将某一文件或者文件夹的全部内容发送至命令与控制服务器、将某文件夹内的文件清单发送至命令与控制服务器,或者创建新的文件与文件夹。

另外,该木马还能够运行文件、运行shell命令、面向必要文件及文件夹获取或者设定权限、终止其进程或者将自身从受感染主机内移除。

FakeFile 并不需要root访问权限

最令人担忧的事实在于,FakeFile并不需要root访问权限即可执行上述操作——具体来讲,其只需要当前用户权限即可顺利完成任务。

过去一年以来,针对Linux平台的木马数量开始显著增加,但在多数情况下,其主要面向运行有Linux操作系统的Linux服务器或者物联网设备。

安全厂商很少遇到针对Linux桌面环境的木马。截至本文撰稿时,Dr. Web公司亦没有确定该木马的传播方法——但垃圾邮件明显嫌疑最大,因为立足Windows以及Mac设备的恶意软件作者通常会利用垃圾邮件及Office相关文件作为后门木马的主要散布手段。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。