编年史专家发现了Winnti后门的Linux版本

来自Alphabet的网络安全部门Chronicle的安全研究人员发现了Winnti后门的Linux版本。

来自Alphabet的网络安全部门Chronicle的安全专家发现了Winnti后门的Linux版本。这是研究人员第一次发现由中国链接的APT组织作为Winnti的后门用户的Linux版本。

专家认为，在Winnti的保护伞下，有几个APT小组，包括   Winnti，Gref，PlayfullDragon，APT17，  ViceDog，Axiom，  BARIUM，LEAD，  PassCV，Wicked Panda和  ShadowPad。这些小组展示了类似的策略，技术和程序（TTP），在某些情况下，共享相同黑客基础设施的部分。

Chronicle研究人员在调查4月袭击拜耳制药公司的网络攻击时。

在其VirusTotal平台上搜索Winnti恶意软件的样本，专家们发现了一种可以追溯到2015年的Winnti的Linux版本。当时恶意软件被用于越南游戏公司的黑客攻击。

“在2019年4月，有报道称德国制药公司发生了涉及Winnti恶意软件的入侵。” Chronicle 发布的分析报告
。“对这些较大的复杂星团的分析正在进行中。在回顾2015年一家越南游戏公司的Winnti入侵报告时，我们确定了一小部分专为Linux设计的Winnti®样本。“ 

Linux版Winnti后门的技术分析显示存在两个文件，即主后门（libxselinux）和用于避免检测的库（libxselinux.so）。

Winnti后门采用模块化结构，使用插件实现不同的功能。在分析过程中，研究人员无法恢复任何活跃的插件。专家认为，攻击者使用Linux的其他模块来实现远程命令执行，文件泄漏和受感染主机上的socks5代理的插件。

进一步的分析揭示了Winnti变种的Linux版本和Winnti 2.0 Windows版本之间的许多代码相似之处。

“解码后的配置在结构上类似于卡巴斯基分类为Winnti 2.0的版本，以及2015年Novetta报告中的样本。”报告继续说道。“嵌入此中样品的 配置三个命令和控制服务器地址和两个我们认为是活动指示符的附加字符串。 Winnti 版本。在图1中，这些值被指定为“标签”和“组”。“

与Winnti后门的Windows变体一样，Linux版本也使用多种协议处理出站通信，包括ICMP，HTTP以及自定义TCP和UDP协议。

Linux版本还实现了另一项功能，允许威胁参与者启动与受感染主机的连接，而无需连接到控制服务器。

当访问硬编码控制服务器时，该功能可以允许攻击者直接访问受感染的系统。

“当访问硬编码控制服务器时，操作员可以使用该辅助通信信道。此外，运营商可以在感染目标组织中面向互联网的设备时利用此功能，以允许他们在被内部主机驱逐时重新进入网络。“继续报告。“此类网络持久性的被动植入方法以前曾在项目索伦和兰伯特等威胁行为者身上发现过。”

2016年，Winniti  黑客还打击  德国重工业巨头蒂森克虏伯窃取公司机密。

Thyssenkrupp CERT也分享了有关上述功能的技术信息，其专家发布了一份 NMAP可用于通过网络扫描识别Winnti感染的脚本。

“扩展到Linux工具表明他们的传统舒适区域之外的迭代。这可能表明其预期目标的操作系统要求，但它也可能是许多企业利用安全电信盲点的尝试，如Penquin Turla和APT28的Linux XAgent变体。“包括IoC和Yara规则的报告总结用于识别威胁。