FontOnLake 恶意软件通过合规的实用程序感染 Linux 系统-低调大师

FontOnLake 恶意软件通过合规的实用程序感染 Linux 系统

2021-10-11 548

近日来自 ESET 的研究人员发现了一个恶意软件，该恶意软件一直在通过合规的 Linux 实用程序来感染 Linux 系统。该恶意软件被称为 FontOnLake，得益于该恶意软件的先进设计，以及不断升级新的功能，使其能够在受感染的系统上持续保持活跃状态。

FontOnLake 有多个模块，它们相互作用，并能与恶意软件的操作者进行通信来窃取敏感数据，并在系统中保持隐蔽。

ESET 的研究人员发现了多个上传到 VirusTotal 扫描服务的恶意软件样本，其中最早的样本出现在 2020 年 5 月。

ESET 的恶意软件分析师和反向工程师 Vladislav Hrčka 表示："为了收集数据或进行其他恶意活动，所有的木马程序都是合规的 Linux 实用程序，以加载进一步的组件。事实上，为了掩盖其存在，FontOnLake 的存在总是伴随着一个 rootkit，并且还可以作为一种持久性机制，因为它们通常在系统启动时执行。"

也就是说，这些木马程序很可能在源代码层面上被修改过，这表明攻击者对它们进行了编译并替换了原来的程序。除了携带恶意软件，这些修改后的实用程序的作用还包括加载额外的有效载荷、收集信息，以及执行其他恶意行为。

FontOnLake 的工具集包括三个组件，它们由合规的 Linux 实用程序的木马化版本组成、用于加载内核模式的 rootkit 和后门，所有这些都使用虚拟文件相互通信。基于 C++ 所编写的自定义后门被设计用来监视系统，在网络上秘密执行命令并渗出账户凭证。它们还使用自定义 heartbeat 命令来保持与控制服务器的连接。

目前还不知道攻击者如何获得网络的初始访问权，但研究人员指出，攻击者十分谨慎，通过依靠不同的、独特的命令和控制（C2）服务器与不同的非标准端口来避免留下任何痕迹。研究人员认为，FontOnLake 的作者精通网络安全，目前已停用了 VirusTotal 所观察到的所有 C2 服务器。

微信关注我们

原文链接：https://www.oschina.net/news/163475/linux-fontonlake-rootkit

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

IBM 为 Linux 内核提出新的命名空间机制

命名空间（Namespace）是 Linux 内核的一个特性，它对内核资源进行分区，使得一组进程看到一组资源，而另一组进程看到一组不同的资源。该功能的工作原理是为一组资源和进程使用相同的命名空间，但这些命名空间引用不同的资源。资源可能存在于多个空间中。此类资源的示例包括进程 ID、主机名、用户 ID、文件名以及一些与网络访问和进程间通信相关的名称。 IBM 工程师 Pratik Sampat 近日发表了 Linux 内核的 CPU Namespace 接口的早期原型。设计这个命名空间是为了解决当前查看可用 CPU 资源的方法的一致性问题，以及解决因了解系统上的资源访问/位置而可能产生的安全问题。如今，在容器上运行的应用程序在 cgroups 的帮助下执行它们的 CPU、内存限制与要求。然而，许多应用程序通过 sysfs/procfs 继承或以其他方式获得系统的视图，并根据这些信息分配资源，如线程/进程的数量，内存分配。这可能会导致意外的运行行为，并对性能产生很大影响。除了一致性问题，目前的处理方式也给多租户系统带来了安全和公平使用的影响，例如：攻击者可以在知道 CPU 节点拓扑的...

2021-10-11

601

rest框架概览我们先通过 go-zero 自带的命令行工具 goctl 来生成一个 api service，其 main 函数如下： func main() { flag.Parse() var c config.Config conf.MustLoad(*configFile, &c) ctx := svc.NewServiceContext(c) server := rest.MustNewServer(c.RestConf) defer server.Stop() handler.RegisterHandlers(server, ctx) fmt.Printf("Starting server at %s:%d...\n", c.Host, c.Port) server.Start() } 解析配置文件将配置文件传入，初始化 serviceContext 初始化 rest server 将 context 注入 server 中：注册路由将 context 中的启动的 endpoint 同时注入到 router 当中启动 server 接下来我们来一步...

2021-10-11

462

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。