安全研究人员发现Linux版本的Winnti恶意软件

安全研究人员发现Linux版本的Winnti恶意软件Winnti Linux变种在2015年用于越南游戏公司的黑客。安全研究人员首次发现并分析了Winnti的Linux版本，这是北京黑客在过去十年中最常用的黑客工具之一。由Alphabet的网络安全部门Chronicle的安全研究人员发现，Winnti恶意软件的Linux版本作为受感染主机的后门，允许攻击者访问受感染的系统。Chronicle说，在上个月发布消息称世界上最大的制药公司之一拜耳遭到中国黑客攻击后，发现了这种Linux版本，并且在其系统上发现了Winnti恶意软件。在其VirusTotal平台上对Winnti恶意软件进行后续扫描期间，Chronicle表示它发现了似乎是Winnti的Linux版本，可追溯到2015年，当时它被用于越南游戏公司的黑客攻击。

与WINDOWS变体的连接Chronicle说他们发现的恶意软件由两部分组成。一个rootkit组件，用于隐藏受感染主机上的恶意软件以及实际的后门木马。进一步的分析揭示了Linux版本和Winnti 2.0 Windows版本之间的代码相似性，如卡巴斯基实验室和Novetta的报告所述。与Windows版本的其他连接还包括Linux变体处理与命令和控制(C&C)服务器的出站通信的类似方式 - 这是多个协议(ICMP，HTTP和自定义TCP和UDP协议的混合) )。最后但并非最不重要的是，Linux版本还拥有另一个与Windows版本不同的功能，即中国黑客能够在不通过C&C服务器的情况下启动与受感染主机的连接。

“在对硬编码控制服务器的访问受到干扰时，运营商可以使用这种辅助通信渠道，”Chronicle研究人员在上周发布的一份报告中表示。LINUX恶意软件很少见这个Winnti Linux版本的发现也表明，国家赞助的演员不会回避将他们的恶意软件移植到他们认为必要的任何平台。众所周知，与美国和俄罗斯政府有联系的州黑客组织使用Linux恶意软件。“来自中国APT的Linux专用工具很少见，但并非闻所未闻，”Chronicle的逆向工程负责人Silas Cutler通过电子邮件告诉ZDNet。“从历史上看，像HKdoor，Htran和Derusbi这样的工具都有Linux变体。”但尽管如此，Linux恶意软件在整个民族国家的黑客组织中是非常罕见的，特别是与Windows工具相比时。卡特勒告诉我们，“较低的流行程度可能是因为Linux为演员提供了足够的机会'在陆地上生活'，这使得不需要定制工具。”