TrickBot的新Linux恶意软件暗中感染Windows设备

7月31日消息：TrickBot公司的Anchor恶意软件平台已被移植到Linux设备上，并利用隐蔽通道进一步损害高影响和高价值的目标。

TrickBot是一个多用途的Windows恶意软件平台，它使用不同的模块执行各种恶意活动，包括窃取信息、窃取密码、Windows域渗透和恶意软件传递。

TrickBot由威胁参与者租用，他们利用威胁渗透网络并收获任何有价值的东西。然后将其用于部署Ryuk和Conti等勒索软件，以加密网络设备，作为最终攻击。

在2019年底，SentinelOne和NTT均报告了一个名为Anchor的新TrickBot框架，该框架利用DNS与其命令和控制服务器进行通信。

TrickBot的Anchor框架

来源：SentinelOne

该恶意软件名为Anchor_DNS，可用于具有有价值财务信息的高价值，高影响力目标。

除了通过Anchor感染进行勒索软件部署之外，TrickBot Anchor参与者还使用它作为针对APT的针对销售点和财务系统的活动的后门。

TrickBot的Anchor后门恶意软件已移植到Linux

从历史上看，Anchor一直是Windows的恶意软件。最近，第二阶段安全研究人员  Waylon Grange发现了一个新样本，该样本 表明Anchor_DNS已被  移植到  名为'Anchor_Linux' 的新Linux后门版本中。

在x64 Linux可执行文件中找到Anchor_Linux字符串

来源：Waylon Grange

先进的英特尔公司的Vitali Kremez 分析了Intezer Labs发现的新型Anchor_Linux恶意软件的样本。

Kremez告诉BleepingComputer，安装后，Anchor_Linux将使用以下crontab条目将自身配置为每分钟运行：

*/1 * * * * root [filename]

通过CRON设置持久性

来源：Vitali Kremez

除了充当可以将恶意软件拖放到Linux设备上并执行它的后门程序之外，该恶意软件还包含嵌入式Windows TrickBot可执行文件。

威胁参与者可以使用Anchor_Linux使用SMB和$ IPC将嵌入式TrickBot复制到同一网络上的Windows主机。

嵌入式Windows可执行文件

来源：Vitali Kremez

成功复制到Windows设备后，Anchor_Linux将使用服务控制管理器远程协议  和名为pipe的  SMB SVCCTL将其配置为Windows服务  。

通过SMB复制文件

来源：Waylon Grange

配置服务后，恶意软件将在Windows主机上启动，并重新连接到命令和控制服务器以执行命令。

此Linux版本允许威胁参与者使用后门将非Windows环境作为攻击目标，从而使攻击者秘密地转向同一网络上的Windows设备。

“该恶意软件在UNIX环境中充当隐蔽的后门持久性工具，被用作Windows利用的枢纽，并在电子邮件网络钓鱼之外用作非正统的初始攻击媒介。它使该组织可以定位和感染UNIX环境中的服务器（例如路由器） ）并将其用于企业网络。”在与该恶意软件的对话中，Kremez告诉BleepingComputer。

更糟糕的是，许多物联网设备（例如路由器，VPN设备和NAS设备）运行在Linux操作系统上，这可能成为Anchor_Linux的目标。

随着TrickBot恶意软件的这种发展，Linux系统和IoT设备具有足够的保护和监视以检测诸如Anchor_Linux之类的威胁变得越来越重要。

对于相关的Linux用户，他们可能已被感染，Anchor_Linux将在创建日志文件/tmp/anchor.log。如果存在此文件，则应针对Anchor_Linux恶意软件的存在对系统执行完整的审核。

Kremez告诉BleepingComputer，他相信Anchor_Linux仍在开发中，这是因为要测试Linux可执行文件中的功能。

预计TrickBot将继续发展，使其成为Anchor框架的全功能成员。