一种已有 20 年历史的特洛伊木马最近重新出现,其新变种以 Linux 为目标,并冒充受信任的托管域来逃避检测。
Palo Alto Networks 的研究人员发现了一个新的 Linux 变体 Bifrost(又名 Bifrose)恶意软件 使用一种称为 注册近似域名 模仿合法的 VMware 域,从而使恶意软件能够在雷达下运行。 Bifrost 是一种远程访问特洛伊木马 (RAT),自 2004 年以来一直活跃,并从受感染的系统收集敏感信息,例如主机名和 IP 地址。
过去几个月,Bifrost Linux 变种数量激增,令人担忧:Palo Alto Networks 已检测到 100 多个 Bifrost 样本实例,研究人员 Anmol Murya 和 Siddharth Sharma 在该公司的报告中写道,这“引起了安全专家和组织的担忧”。新发表的研究结果。
此外,有证据表明网络攻击者的目标是进一步扩大 Bifrost 的攻击面,他们使用与托管 ARM 版本 Bifrost 的 Linux 变体相关的恶意 IP 地址。
研究人员解释说:“通过提供恶意软件的 ARM 版本,攻击者可以扩大其掌握范围,从而损害可能与基于 x86 的恶意软件不兼容的设备。” “随着基于 ARM 的设备变得越来越普遍,网络犯罪分子可能会改变他们的策略,加入基于 ARM 的恶意软件,从而使他们的攻击更加强大并能够到达更多目标。”
分布与感染
研究人员指出,攻击者通常通过电子邮件附件或恶意网站分发 Bifrost,但他们没有详细说明新出现的 Linux 变体的初始攻击向量。
帕洛阿尔托研究人员观察了托管在域名 45.91.82[.]127 的服务器上的 Bifrost 样本。一旦安装在受害者的计算机上,Bifrost 就会连接到一个具有欺骗性名称 download.vmfare[.]com 的命令和控制 (C2) 域,该域看起来与合法的 VMware 域类似。该恶意软件收集用户数据并发回该服务器,并使用 RC4 加密技术对数据进行加密。
研究人员写道:“恶意软件经常采用 C2 等欺骗性域名而不是 IP 地址来逃避检测,使研究人员更难追踪恶意活动的来源。”
他们还观察到该恶意软件试图联系 IP 地址为 168.95.1[.]1 的台湾公共 DNS 解析器。研究人员表示,该恶意软件使用解析器启动 DNS 查询来解析域名 download.vmfare[.]com,这一过程对于确保 Bifrost 能够成功连接到其预期目的地至关重要。
保护敏感数据
尽管 Bifrost RAT 可能是恶意软件的老前辈,但它仍然对个人和组织构成重大且不断演变的威胁,特别是在采用新变种的情况下 注册近似域名 研究人员说,为了逃避检测。
他们写道:“跟踪和对抗 Bifrost 等恶意软件对于保护敏感数据和维护计算机系统的完整性至关重要。” “这也有助于最大限度地减少未经授权的访问和后续伤害的可能性。”
在他们的帖子中,研究人员分享了一份妥协指标列表,包括恶意软件样本以及与最新 Bifrost Linux 变体相关的域和 IP 地址。研究人员建议企业使用下一代防火墙产品 特定于云的安全服务 — 包括 URL 过滤、恶意软件防护应用程序以及可见性和分析 — 确保云环境的安全。
研究人员表示,最终,感染过程使恶意软件能够绕过安全措施并逃避检测,并最终损害目标系统。
- :具有
- :是
- :不是
- 100
- 7
- 91
- a
- Able
- ACCESS
- 根据
- 要积极。
- 活动
- 地址
- 地址
- 采用
- 劝
- 瞄准
- 又名
- 一样
- 允许
- 还
- 其中
- an
- 分析
- 和
- 出现
- 应用领域
- ARM
- AS
- 相关
- At
- 攻击
- 攻击
- 背部
- BE
- 成为
- 很
- Bifrost
- by
- 绕行
- CAN
- 更改
- 云端技术
- 购买的订单均
- 相当常见
- 公司
- 兼容
- 妥协
- 妥协
- 折中
- 一台
- 关注
- 分享链接
- CONTACT
- 关键
- 网络罪犯
- data
- 目的地
- 检测
- 检测
- 设备
- 没
- 难
- 分发
- 分配
- DNS
- 域
- 网站域名
- 下载
- ,我们将参加
- 阐述
- 邮箱地址
- 加密
- 加密
- 确保
- 企业
- 环境中
- 逃脱
- 甚至
- 证据
- 演变
- 扩大
- 专家
- 解释
- 少数
- 过滤
- 发现
- 火墙
- 针对
- 止
- 进一步
- 把握
- 伤害
- 帮助
- 托管
- 托管
- HTTPS
- 模仿
- in
- 包括
- 包含
- 指标
- 个人
- 信息
- 初始
- 开始
- 安装
- 代替
- 诚信
- 拟
- IP
- IP地址
- IP地址
- IT
- 它的
- 已知
- 最新
- 合法
- 喜欢
- 可能性
- 容易
- Linux的
- 清单
- 使
- 制作
- 恶意
- 恶意软件
- 可能..
- 措施
- 大幅减低
- 个月
- 更多
- 姓名
- 名称
- 网络
- 全新
- 新
- 下一代
- 注意到
- of
- 经常
- on
- 一旦
- or
- 组织
- 输出
- 帕洛阿尔托
- 尤其
- 过去
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 帖子
- 在练习上
- 保存
- 过程
- 核心产品
- 优
- 国家
- 出版
- 询问
- 雷达
- 提高
- RAT
- 达到
- 上游
- 最近
- 遗迹
- 远程
- 通过远程访问
- 研究人员
- 解决
- s
- 保护
- 说
- 样品
- 安全
- 保安
- 保安措施
- 提交
- 敏感
- 服务器
- 共用的,
- 夏尔马
- 显著
- 类似
- 自
- 来源
- 穗
- 强
- 随后
- 顺利
- 这样
- 磁化面
- 系统
- 产品
- 策略
- 目标
- 针对
- 目标
- 比
- 这
- 其
- 那里。
- 他们
- Free Introduction
- 虽然?
- 威胁
- 通过
- 至
- 追踪
- 跟踪
- 木马
- 信任
- 试图
- 一般
- 最终
- 擅自
- 下
- 网址
- 使用
- 用户
- 使用
- 运用
- 变种
- 版本
- 通过
- 受害者
- 能见度
- VMware的
- 网站
- 井
- ,尤其是
- 这
- 将
- 令人担忧
- 写
- 和风网