研究人员公布与中国黑客有关的新Linux恶意软件

周三，网络安全研究人员揭示了一个新的复杂后门，目标是Linux端点和服务器，据信这是中国民族国家行为者的工作。

被Intezer称为“RedXOR”的后门伪装成一个polkit守护程序，发现该恶意软件与之前与Winnti Umbrella（或Axiom）威胁组织（如​；PWNLNX和#8203；异或。DDOS​；还有土拨鼠。

RedXOR的名字来源于这样一个事实：它使用基于XOR的方案对其网络数据进行编码，并在旧版本的Red Hat Enterprise Linux上使用遗留GCC编译器进行编译，这表明该恶意软件被部署在针对遗留Linux系统的有针对性的攻击中。

Intezer说，大约在2月23日至24日，从印度尼西亚和台湾上传了两个恶意软件样本，这两个国家都被中国的威胁组织挑了出来。

除了整体流程和功能方面的重叠，以及RedXOR和​之间XOR编码的使用；PWNLNX，后门采用非压缩64位ELF文件（“po1kitd-update-k”）的形式，并带有一个输入错误的名称（“po1kitd”vs“POKITD”），在执行后，该文件将继续创建一个隐藏目录，以存储与恶意软件相关的文件，然后再将其安装到计算机上。

Polkit（née PolicyKit）是一个用于定义和处理授权的工具包，用于允许非特权进程与特权进程通信。

此外，该恶意软件还带有一个加密配置，其中包含命令与控制（C2）IP地址和端口，以及在通过TCP套接字建立连接之前验证C2服务器所需的密码。

更重要的是，这些通信不仅被伪装成无害的HTTP通信，而且还使用XOR加密方案进行双向编码，其结果被解密以显示要运行的确切命令。

RedXOR支持多种功能，包括收集系统信息（MAC地址、用户名、分布、时钟速度、内核版本等）、执行文件操作、以系统权限执行命令、运行任意shell命令，甚至远程更新恶意软件的选项。

被RedXOR攻击的用户可以采取保护措施，杀死进程并删除与恶意软件相关的所有文件。

如果说有什么区别的话，最新的发展表明，针对Linux系统的活动数量有所增加，部分原因是IoT设备、web服务器和云服务器广泛采用操作系统，导致攻击者将其现有Windows工具移植到Linux，或开发支持这两种平台的新工具。

Intezer的研究人员在2020年的一份报告中概述了过去十年Linux APT攻击的情况，“一些最著名的国家行为者正在将攻击性Linux功能纳入他们的武库，预计随着时间的推移，此类攻击的数量和复杂度都将增加。”。