研究人员发现一种新型 Linux 恶意软件,可能是在人工智能的帮助下开发的。
这款名为Koske 的新型 Linux AI 恶意软件,专门用于加密货币挖矿活动。Aquasec 研究人员报告称,该恶意代码利用 rootkit 和多语言图像文件滥用来逃避检测。
攻击者利用配置错误的服务器植入后门,并通过短网址链接下载两个 JPEG 文件。这两个多语言文件在文件末尾隐藏了恶意代码,并直接在内存中执行以逃避杀毒软件的检测。
其中一个是编译成 rootkit.so文件的 C 代码;另一个是使用标准系统工具的隐秘 Shell 脚本,可在不留下任何可见痕迹的情况下持久化。
Aquasec 发布的报告指出:“主要和次要载荷通过双重用途图像文件传递。攻击者将恶意 Shell 脚本附加到合法图像文件(例如熊猫图片)中,这些脚本隐藏在图片中并保存在合法免费的图像网站(freeimage、 postimage 和 OVH images)上。”
“这种技术不是隐写术,而是多语言文件滥用或恶意文件嵌入。该技术使用有效的 JPG 文件,并在末尾隐藏恶意 Shellcode。只有最后的字节被下载和执行,使其成为一种偷偷摸摸的多语言滥用形式。这是一个双重用途文件,通过将图像数据与可执行载荷混合来逃避检测。”
攻击者通过错误配置的 JupyterLab 实例获得访问权限,然后通过劫持 shell 配置和启动进程来运行隐秘脚本,从而确保持久性。
Koske 在其连接模块中展现了类似人工智能的行为,它使用多种方法测试 GitHub 访问权限,通过重置 DNS 和代理来解决问题,并动态地暴力破解工作代理。这种自适应的自动化策略表明,它采用了人工智能辅助开发。
以下几个脚本部分表明 LLM (大语言模型)参与其中:
- 详细、结构良好的注释和模块化
- 具有防御性脚本习惯的最佳实践逻辑流程
- 使用塞尔维亚语短语和中性语法来混淆作者身份
- 此类代码可能被设计得看起来很“通用”,难以进行归因和分析。
Koske 恶意软件支持 18 种加密货币的挖矿,并根据受感染主机的硬件情况选择 CPU 或 GPU 优化的矿机。如果一个矿机出现故障,它会自动切换币种或矿池,目标资产包括 Monero、Ravencoin、Zano、Nexa 和 Tari。
AquaSec 在矿工的 GitHub 仓库中发现了塞尔维亚 IP、塞尔维亚脚本短语和斯洛伐克语,但无法确定这些攻击的来源。
报告总结道:“虽然利用人工智能生成更优代码已经给防御者带来了挑战,但这仅仅是个开始。真正改变游戏规则的是由人工智能驱动的恶意软件,这种恶意软件能够与人工智能模型动态交互,实时调整自身行为。这种能力可能标志着对手战术的飞跃,使无数系统面临严重风险。”
技术报告:
https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/