安全研究人员近期披露了一个名为GhostPenguin的新型Linux后门程序。该恶意软件在过去数月内成功规避了传统安全检测,其利用AI自动化威胁追踪管道才得以曝光。GhostPenguin由C++编写,采用多线程设计与加密通信,旨在建立隐蔽的远程控制通道。
该后门程序自2025年7月7日起上传至VirusTotal平台后,长期保持零检测记录,凸显了追踪定制化、低检测率威胁的严峻挑战。
隐蔽的通信与多阶段架构
GhostPenguin的核心设计理念在于极致的隐蔽性。它使用加密的UDP协议与命令控制(C2)服务器进行通信,数据传输量被刻意最小化,以降低被网络流量监测工具发现的概率。
安全分析师指出,该恶意软件采用精心设计的多阶段架构。其通信链路具备安全性,只有当前一阶段的通信序列完全按预期完成后,才会暴露并加载后续的攻击模块,这种设计极大地增加了静态分析和动态检测的难度。
对于负责运维/DevOps的工程师而言,此类针对Linux服务器的定向威胁需要高度警惕。
RC5加密与感染机制
GhostPenguin采用RC5加密算法来保护其通信内容。加密所使用的16字节会话密钥,是在与C2服务器的初始握手过程中动态获取的。
其握手流程如下:
- 恶意软件首先发送一个包含占位符ID的未加密UDP数据包作为会话请求。
- C2服务器响应请求,并用真实的会话ID替换该占位符。
- 此后,该会话ID将作为RC5密钥,用于加密所有通过UDP端口53(通常为DNS端口)进行的后续通信。
在受感染主机上执行时,GhostPenguin会首先解析其运行环境,包括获取当前用户的主目录以及可执行文件自身的路径。
持久化驻留与命令执行
为了确保持久化并避免多个实例冲突,GhostPenguin会在用户主目录下创建一个名为.temp的隐藏文件。该文件中记录了其进程ID(PID)。在启动时,它会通过调用kill(pid, 0)来检查文件中记录的PID是否对应一个活跃的进程,以此判断是否已有实例在运行。
其与控制服务器建立连接并工作的流程分为四个阶段:
- 初始化
- 会话ID请求
- 注册:发送系统信息(IP地址、主机名、操作系统版本和架构)
- 监听与执行:保持每500毫秒发送心跳信号以维持连接,并等待执行任务。
一旦建立稳固连接,受感染的系统将能够执行攻击者下发的约40种不同命令。这些命令功能全面,涵盖远程Shell操作、完整的文件与目录管理(上传、下载、删除、遍历)等。
为了适应UDP协议的数据包大小限制,所有的传输数据都会被分割成多个数据包。同时,通信机制包含了确认与重传逻辑,未收到服务器确认的数据包会自动重传,确保了通信的可靠性。
此次GhostPenguin的发现,凸显了人工智能与自动化工具在现代威胁狩猎中的关键作用,也为防御者应对日益隐蔽的定向攻击敲响了警钟。 | 
发表于 5 天前
|
查看: 10|
回复: 0
