【安全资讯】新型Auto-Color Linux后门攻击北美政府和大学

概要：

近期，一种名为'Auto-Color'的Linux后门被发现，针对北美和亚洲的大学及政府机构进行攻击。这一恶意软件具有高度隐蔽性，难以从受感染系统中清除，能够长时间维持对系统的访问。此事件引发了对网络安全的广泛关注，尤其是在政府和教育领域。

主要内容：

Unit 42的研究人员在2024年11月至12月期间观察到了Auto-Color的攻击活动。该恶意软件通过伪装成无害文件（如“door”、“egg”和“log”）进行初始感染。一旦获得根权限，Auto-Color会安装一个恶意库（libcext.so.2），并伪装成合法的libcext.so.0库，确保其在系统启动时优先执行。即使没有根权限，恶意软件仍能执行，但会跳过持久化机制，依然提供远程访问。

Auto-Color使用自定义加密算法解密命令与控制（C2）服务器信息，并通过随机16字节值进行握手验证。这种动态变化的加密方式使得检测变得更加困难。一旦建立连接，C2可以指示Auto-Color执行多种操作，包括打开反向Shell、执行任意命令、修改或创建文件等。此外，Auto-Color还具备类似rootkit的特性，能够拦截系统调用并隐藏C2连接。

Unit 42建议监控'/etc/ld.preload'的变化，检查'/proc/net/tcp'的异常输出，并使用基于行为的威胁检测解决方案来防御这一严重威胁。研究人员还列出了妥协指标（IoCs），以帮助检测与C2 IP的连接。