一种名为 Quasar Linux(简称 QLNX) 的新型 Linux 恶意软件,正以罕见的复杂手段针对软件开发者和 DevOps 工程师发起攻击。与大多数依赖磁盘文件的恶意软件不同,QLNX 几乎完全在内存中运行,这使得传统安全工具极难检测。该恶意软件因其攻击目标和窃取能力,引发了严重的安全担忧。
QLNX 以单一自包含二进制文件的形式出现,但其行为远非常规。执行后,它会将有效载荷转移到内存中,不在文件系统中留下痕迹,随后植入操作系统,窃取 SSH 密钥、云凭证、软件包注册表令牌和浏览器存储的密码。受感染的开发者工作站不仅是单一的被控设备,更成为入侵源代码仓库、构建流水线和云环境的跳板。云原生环境与 CI/CD 流水线的安全防护面临着此类新型威胁的挑战,深入理解 安全/渗透/逆向 技术对于构建有效的检测体系至关重要。
高度自适应的攻击技术
GuardSix 安全团队发现了该恶意软件,并指出其最初由 TrendMicro 研究人员发现。QLNX 围绕一个包含 58 个命令的远程访问框架构建,专门设计用于绕过传统 Linux 终端防御措施。主要攻击目标为运行 Debian、Ubuntu、RHEL、Fedora 和 Arch 系统的开发及 CI/CD 构建主机。
QLNX 的独特之处在于其适应能力——它不携带预构建组件,而是嵌入原始 C 源代码,利用目标机器的编译器在运行时构建定制 rootkit。由于生成的文件对每台主机都是唯一的,静态特征检测会失效,恶意软件得以伪装成正常活动。
精心设计的感染链
QLNX 的感染链包含六个精心设计的阶段,以避免留下证据。启动时,它创建仅存在于内存中的文件,写入真实有效载荷并执行,随后从磁盘删除原始文件。运行中的进程在文件系统中没有关联文件,基于磁盘的杀毒软件无从扫描。
为躲避关注,QLNX 会重写自身的进程名称,模仿合法的内核工作线程,如 [kworker/0:0] 或 [migration/0]。真正的内核线程不应维持用户空间网络连接,也不应拥有常规的用户空间父进程,但大多数常规系统检查会完全忽略这种伪装。
深度系统植入技术
该恶意软件会使用受害者的 gcc 编译器,针对本地内核头文件编译其嵌入的 rootkit 和 PAM 后门源代码,为每台主机生成独特的共享对象文件,以规避基于签名的检测。编译后的 rootkit 通过修改文件实现系统级加载,强制每个新生成的进程加载恶意库。点对点网状网络连接受感染主机,使得移除单个命令节点不会切断攻击者的连接。
修复与缓解措施
GuardSix 明确指出,标准清理措施远远不够。唯一完全可靠的修复方法是使用经过验证的干净镜像进行全盘擦除和操作系统重装,因为部分清理会残留风险——除非在内核级别完全移除,否则 eBPF rootkit 可能存活。
对于无法立即重装系统的团队,GuardSix 建议立即将所有可疑主机与网络隔离,因为逐个移除会允许存活的网状节点重新感染已清理的对等设备。同时,移除已知持久化文件、清除预加载库配置以及收集加密凭证日志进行取证审查都至关重要。
在预防方面,限制不需要 C 编译器的系统可阻止 QLNX 构建其 rootkit。隔离开发者工作站可破坏点对点网状网络。组织应密切监控低级系统配置文件,并在确认检测后全企业范围轮换所有凭证。
入侵指标(IoCs)
注: IP 地址和域名已进行无害化处理(如 _[.]_ ),防止意外解析或超链接。仅在 MISP、VirusTotal 或 SIEM 等受控威胁情报平台中恢复原始格式。
参考来源:
Quasar Linux RAT Targets Developers With Fileless Execution and eBPF Rootkit
https://cybersecuritynews.com/quasar-linux-rat-targets-developers/ | 
发表于 2 小时前
|
查看: 4|
回复: 0
