您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

Windows和Linux通吃,最新远控木马“Dacls”来袭

时间:2020-01-02 16:02:59  来源:  作者:

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联。

进一步分析表明,该文件实际上是一款功能完善、行为隐蔽的模块化远控木马,且分为windowslinux两个版本。其中,Linux版本包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

根据文件名和硬编码的字符串,360Netlab决定将此新型远控木马命名为“Dacls”(Win32.Dacls和Linux.Dacls),而这也是首次观察到“拉撒路”组织将Linux主机列为攻击目标。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

“拉撒路”什么来头?

拉撒路,由Lazarus音译而来,也被称为HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY,被认为是目前全球规模最大、最为活跃的黑客组织之一,且被指得到了朝鲜政府的支持。

据称,该组织自2009年以来就一直处于活跃状态,且与多起轰动一时的网络攻击事件有关,包括2014年索尼影业被黑事件、2016年孟加拉国银行网络攻击事件,以及2017年WannaCry勒索软件事件。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

恶意文件托管服务器

通过寻线追踪,360Netlab成功发现了一台托管有Win32.Dacls和Linux.Dacls的服务器。除Dacls远控木马外,这台服务器还托管有其他一些样本,如开源程序Socat(命令行工具)以及Confluence CVE-2019-3396漏洞利用脚本。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

Linux.Dacls样本分析

如上所述,Linux.Dacls包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

初始化行为

启动后,Linux.Dacls会以daemon方式在后台运行,并通过启动参数“/pro”、Bot PID文件“/var/run/init.pid”和Bot进程名“/proc/<pid>/cmdline”,来区分不同运行环境(可能是用于Bot程序升级)。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

C2协议

Linux.Dacls和C2通信主要分为三个阶段,并采用了TLS和RC4双层加密算法,保障数据通信安全。

第一阶段是建立TLS连接;第二阶段是双方协议认证过程(Malware Beaconing);第三阶段是Bot发送RC4加密后的数据。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

Bash插件

Bash插件主要支持两个功能:一是接收C2服务器的下发的系统命令并执行;二是C2通过指令下发临时C2,Bot然后连接到临时C2并执行临时C2下发的系统命令。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

File插件

File插件主要功能是文件管理,除了支持对文件的读/写/删除/查找操作,还可以从指定的服务器下载文件。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

Process插件

Process插件的主要功能是进程管理,包括杀死指定进程、创建daemon进程、获得当前进程的PID和PPID,以及获取进程列表信息。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

Test插件

Test插件的主要功能是通过连接C2指定的IP地址和端口,测试其网络连通性。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

Reverse P2P插件

Reverse P2P插件实际上是一种C2连接代理(Connection Proxy),它通过下发控制命令可以将指定的C2数据完整的转发到指定IP端口。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

LogSend插件

LogSend插件的主要功能有三个:一是测试连接Log服务器,二是随机扫描全网8291端口并上报给Log服务器,三是执行耗时较长的系统命令并将控制台输出结果实时上报给Log服务器。

Windows和Linux通吃,最新远控木马“Dacls”来袭

 

安全建议

360Netlab建议Confluence用户应及时更新补丁,并可以根据Dacls远控木马所创建的进程、文件名以及TCP网络连接特征来判断自己的系统是否已经遭到感染,然后有针对性地清理相关进程和文件。



Tags:Dacls   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联...【详细内容】
2020-01-02  Tags: Dacls  点击:(414)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克&middot;温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(562)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条