Цветокоррекция с двойным дном: невидимый туннель для кражи секретной информации

В кибератаках, направленных против университетов и государственных организаций в Северной Америке и Азии, был зафиксирован новый скрытный бэкдор для Linux — Auto-color. Его активность началась осенью 2024 года, и за это время он продемонстрировал впечатляющий набор возможностей по маскировке и управлению заражённой системой. Злоумышленники маскируют вредонос под безобидное средство для улучшения цветопередачи, встраивая его в систему под именами вроде «door», «egg» или «log», что затрудняет его обнаружение.

Бэкдор получил своё название от имени исполняемого файла, в которое он сам себя переименовывает после установки. Его поведение варьируется в зависимости от прав запуска: при наличии root-доступа он разворачивает полноценный набор приёмов для постоянства в системе и сокрытия своей деятельности, включая внедрение вредоносной библиотеки libcext.so.2 и модификацию системного файла /etc/ld.so.preload. Это позволяет внедрённой библиотеке подменять стандартные функции системных вызовов, скрывая следы своего присутствия.

Одной из особенностей Auto-color стало активное применение шифрования: строки, конфигурационные данные и сетевое взаимодействие защищены от анализа с помощью кастомных алгоритмов. Все строки в бинарнике зашифрованы комбинацией XOR и арифметических операций, а сама конфигурация C2-сервера хранится в .data-секции и расшифровывается с использованием ключа, встроенного в последние байты данных. В ней содержатся IP-адреса и порты, к которым вредонос подключается для получения команд.

После установки Auto-color создаёт каталог /var/log/cross с правами 777 и копирует в него своё тело. Он также записывает свою библиотеку в системный путь и обеспечивает автоматическую загрузку с помощью ld.preload. Чтобы не допустить повторной установки, бэкдор удаляет старые версии самого себя. Кроме того, он использует механизм блокировки через flock, чтобы предотвратить одновременный запуск нескольких экземпляров.

После активации Auto-color запускается как демон, отсоединяясь от терминала и перенаправляя стандартные потоки в /dev/null. Он также закрывает все файловые дескрипторы и устанавливает рабочий каталог в корень файловой системы. Это гарантирует его незаметную работу в фоне и устойчивость к перезагрузке.

Связь с управляющим сервером организована по TCP. Auto-color извлекает параметры подключения из расшифрованной конфигурации, устанавливает сокет и проводит аутентификацию с помощью случайного числа, которое трансформируется и проверяется сервером. Всё взаимодействие — от заголовков до полезной нагрузки — шифруется тем же алгоритмом, что используется и для конфигурации.

В числе доступных команд: сбор информации о системе, работа с файлами и каталогами, передача файлов, создание и удаление объектов, настройка машины как прокси-сервера и запуск интерактивной оболочки. Также предусмотрена возможность полной самоликвидации, включая удаление всех следов присутствия.

Особого внимания заслуживает библиотека libcext.so.2, подменяющая легитимную libcext.so.0. Она внедряется в каждый процесс через ld.preload и перехватывает вызовы системных функций, чтобы предотвратить доступ к своим файлам и скрыть активность. Среди функций, подвергшихся перехвату — stat, open, read, unlink и многие другие. Они либо маскируют существование вредоносных компонентов, либо перенаправляют операции на фиктивные файлы.

Для устойчивости Auto-color встраивается в системные процессы, такие как cron, acpid или auditd. Он проверяет имя вызывающего процесса, и если оно совпадает с известными службами, то порождает дочерний процесс и перезапускается уже от имени доверенной службы. Это позволяет вредоносному коду дольше сохраняться в системе, не вызывая подозрений.

Дополнительная защита касается сетевой активности. Auto-color блокирует попытки чтения файла /proc/net/tcp, в котором хранятся активные соединения. Вместо настоящих данных подсовывается предварительно очищенная версия, где IP-адреса и C2-порты уже удалены.

Для обнаружения Auto-color уже опубликовано правило YARA, которое срабатывает по ряду характерных признаков — имени каталогов, пути к файлам и содержимому строк. Также доступен скрипт для автоматического извлечения и расшифровки конфигурации, включая адреса управляющих серверов.