近期,英国国家网络安全中心(NCSC)发布了一份关于名为“Pygmy Goat”的Linux恶意软件的分析报告,该恶意软件被用于攻击Sophos XG防火墙设备。
“Pygmy Goat”恶意软件是一种x86-32 ELF共享对象(’libsophos.so’),为攻击者提供对基于Linux的网络设备的后门访问。该恶意软件利用LD_PRELOAD环境变量将其有效载荷加载到SSH守护进程(sshd)中,从而钩住守护进程的功能并覆盖处理传入连接的accept函数。它监控SSH流量,寻找特定的“魔法字节”序列,以识别后门会话并重定向到内部Unix套接字进行通信。
该恶意软件通过TLS与其指挥与控制(C2)服务器通信,使用伪装成Fortinet“FortiGate”CA的嵌入证书,以便在Fortinet设备常见的网络环境中隐蔽存在。攻击者可以通过C2服务器向“Pygmy Goat”发送命令,包括打开shell、捕获网络流量、管理cron任务等。
NCSC报告提供了检测“Pygmy Goat”活动的文件哈希和YARA、Snort规则,建议防御者进行手动检查以发现感染。此外,监控ICMP数据包中的加密有效载荷和’LD_PRELOAD’的使用也是识别该恶意软件活动的重要手段。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/179044.html