最近發現的 WolfsBane 惡意軟體在 Linux 安全社群引發了激烈討論,凸顯了人們對高階持久化技術和 Linux 目標威脅不斷演變的擔憂。
主要惡意軟體特徵:
- 偽裝成合法的系統元件
- 具有多重永續性機制
- 具備核心級別的 rootkit 功能
- 使用自定義網路通訊庫
- 同時針對伺服器和桌面環境
複雜的持久化機制
該惡意軟體的持久化技術引起了安全專家的特別關注。雖然初看似乎簡單,但該惡意軟體採用多重後備方法來維持系統訪問許可權,包括操縱顯示管理器配置、桌面自啟動檔案和系統配置檔案。特別令人擔憂的是,它使用使用者層面的 LD_PRELOAD 鉤子技術,可以攔截和修改基本系統功能,如 open、stat 和 readdir。
文章中的持久化技術容易理解,但所有這些別名混亂、路徑混亂和 glibc 依賴混亂使得每個執行的命令都變得不可信。
檢測挑戰
安全專家強調,透過常規方式檢測這種惡意軟體存在重大挑戰。由於惡意軟體能夠重寫程序名稱和命令列,傳統的檔案檢查方法可能無效,這可能會欺騙標準系統監控工具。社群提出了各種檢測方法,從使用 tripwire 系統到監控檔案路徑變化,但每種方法都有其侷限性。
主要檢測點:
- 檔案: /lib/systemd/system/display-managerd.service
- 程序名: "kde"
- 被修改的系統位置: .bashrc, profile.d
- 可疑資料夾: .Xl1
防禦策略
討論產生了幾個實用的防禦建議。專家建議實施多層次方法,而不是僅僅依賴傳統的防病毒解決方案,包括:
- 檔案完整性監控系統(tripwire)
- SELinux 實施
- 遠端日誌記錄
- 多因素認證
- 精細的使用者安全控制
不可變系統作為解決方案
關於不可變 Linux 系統作為安全措施的潛力,出現了一個有趣的觀點。像 NixOS 這樣採用只讀儲存方式和安全引導鏈的系統,可能會減輕 WolfsBane 這類惡意軟體帶來的部分風險。然而,即使這些解決方案也並非完美,因為惡意軟體仍可能透過使用者特定配置持續存在。
 |
|---|
| 探索不可變 Linux 系統作為防禦不斷演變的惡意軟體威脅的保障措施 |
結論
社群分析表明,雖然 WolfsBane 的單個元件可能並不具有開創性,但其在系統持久化和規避檢測方面的綜合方法使其成為重大威脅。這提醒我們,Linux 系統,特別是伺服器,需要強大的安全措施和持續的警惕來應對不斷演變的威脅。
技術說明:
- LD_PRELOAD:一個 Linux 功能,允許在載入其他庫之前載入共享庫,可用於覆蓋標準系統功能
- Tripwire:一個監控並警告檔案系統變化的安全工具
- SELinux:整合到 Linux 核心中的安全架構
來源引用:Unveiling WolfsBane: Gelsemium's Linux counterpart to Gelsevirine