【安全资讯】AI驱动威胁狩猎揭露新型Linux后门GhostPenguin

概要：

在网络安全威胁日益隐蔽化的今天，利用人工智能（AI）进行自动化威胁狩猎已成为对抗高级恶意软件的关键手段。趋势科技研究团队通过其AI驱动的自动化威胁狩猎管道，成功发现并分析了一个名为GhostPenguin的Linux后门。该恶意软件在VirusTotal平台上长达数月未被检测，凸显了传统安全方案在面对新型、低检测率威胁时的局限性，也展示了AI技术在提升威胁发现效率方面的巨大潜力。

主要内容：

GhostPenguin是一个用C++编写的多线程Linux后门，其主要功能是通过RC5加密的UDP通道提供远程Shell访问和全面的文件系统操作。该恶意软件通过结构化的会话握手机制建立通信，并同步多个线程来处理注册、心跳信号和可靠命令传递。其通信全部通过UDP端口53进行，并使用从C&C服务器获取的16字节会话ID作为RC5加密算法的密钥，对所有流量进行加密，以规避网络检测。

该后门的发现得益于一套创新的AI驱动威胁狩猎工作流。研究团队首先从已知攻击中收集大量恶意软件样本，提取字符串、API调用等关键信息，构建结构化数据库。随后，利用这些信息生成VirusTotal狩猎查询规则，专门针对零检测样本进行扫描。对于筛选出的潜在样本，使用IDA Pro进行反编译，并由AI代理进行深度分析，生成包含能力识别、代码执行流和技术分析的详细报告。

技术分析显示，GhostPenguin在感染主机后，会收集系统信息并注册到C&C服务器。它支持广泛的命令集，包括启动远程Shell、执行各类文件操作（创建、删除、读写、重命名、搜索等）以及目录管理。其内部实现了基于UDP的自定义可靠性层，通过确认（ACK）机制和重传队列确保命令和数据不丢失。代码中存在的调试配置、未使用的持久化函数以及多处拼写错误，表明该恶意软件仍处于积极开发阶段。

此次事件表明，攻击者正通过避免使用公开库、从头编写代码等方式制造难以检测的样本。防御者必须结合自动化情报收集、深度代码分析和AI驱动的分类技术，构建系统化的狩猎流程，才能有效应对此类隐蔽且不断演变的威胁。趋势科技的解决方案已能检测并阻断与此后门相关的入侵指标（IoCs）。