FontOnLake 恶意软件
信息安全研究人员发现了一个以前未知的恶意软件威胁系列。这些新的具有威胁性的作品的特点是具有正在积极开发的自定义构建模块。这个新建立的恶意软件家族的名称是 FontOnLake,它似乎主要针对 Linux 系统。攻击者的目标是建立对受感染机器的后门访问并收集敏感数据,例如用户凭据。
威胁行为者非常重视不被注意。在创建 FontOnLake 威胁时,他们主要使用 C/C++ 和几个第三方库,包括 Boost、Poco 和 Protobuf。涉及此恶意软件系列的操作似乎也具有高度针对性,并且集中在东南亚地区
FontOnLake 结构
FontOnLake 使用多种技术来保持隐藏状态并增加其躲避检测的机会。它利用正在修改的合法二进制文件来加载损坏的组件。 FontOnLake 也总是伴随着一个部署在受感染机器上的 rootkit。总的来说,观察到的这个恶意软件家族的组件可以分为三个不同的类别 - 木马应用程序、后门程序和 rootkit。
每个人都肩负着不同的任务。武器化应用程序由合法二进制文件组成,这些二进制文件经过重新编程以执行恶意活动,例如收集数据或提供附加模块。自然,后门被攻击者用作主要的通信渠道,而 rootkit 将自己嵌入系统的内核级别,并协助伪装威胁的行为、促进更新或充当后备后门。
检测到的组件变体
研究人员发现了多种武器化应用。这些都是经过修改的标准 Linux 实用程序,用于收集数据或加载自定义后门或 rootkit 组件。因为它们通常在系统启动时执行,所以它们也可以用作持久性机制。
到目前为止,已经观察到在 FontOnLake 攻击中使用了不同的后门。他们采用了 Boost、Poco、Rrotobuf 的库,以及 STL 的一些特性,包括智能指针。后门在功能上表现出某些重叠,例如能够泄露收集的数据、操纵文件系统、充当代理和执行任意命令。
到目前为止,已经确定了两个独立的 FontOnLake Rootkit。两者都基于 suterusu 开源项目,但包含一些定制技术。这两个版本是有区别的足够,但它们在某些功能上也有重叠。两者都能够隐藏进程和文件、屏蔽网络连接、端口转发、从攻击者那里接收特殊数据包,并将收集到的凭据传送到后门进行渗漏。