Telegram Group & Telegram Channel
Telegram Group » Hong Kong » C++ Academy » Telegram Webview » Post 1086
C++ Academy
🐧 Новый бэкдор Auto-Color атакует Linux: как он работает и почему это опасно

Исследователи из Unit 42 (Palo Alto Networks) сообщили об обнаружении нового Linux-бэкдора под названием Auto-Color, отличающегося продвинутыми методами сокрытия и устойчивостью в системе. Он нацелен на серверные инфраструктуры и контейнерные среды.

🛠 Что известно о Auto-Color:

• написан на C/C++, может работать в большинстве современных Linux-дистрибутивов
• использует спуфинг процесса — маскируется под безобидные системные процессы (`kworker`, `cron`)
• поддерживает удалённое выполнение команд и может скачивать/исполнять произвольные бинарники
• при старте внедряется в системные скрипты автозапуска (`~/.bashrc`, rc.local, `systemd`)
• содержит self-delete механизм, чтобы удалить себя после выполнения задачи
• применяет встроенное шифрование конфигурации и команд управления (C2)

🔒 Вектор заражения:

• Auto-Color попадает в систему через:
- вредоносные скрипты в контейнерных образах
- эксплойты для уязвимых веб-приложений
- бэкдоры в CI/CD пайплайнах

💡 Интересные особенности:

• использует нестандартные порты и нестандартные протоколы поверх TCP/UDP
• шифрует коммуникации с C2-сервером с помощью RC4/ChaCha
• хранит свои конфигурации в скрытых файлах dotfiles или шифрованных секциях бинарника

📉 Почему это важно:

• многие системы мониторинга пропускают его из-за обфускации
• он способен действовать неделями незаметно
• наличие встроенной логики persistence делает его опасным в DevOps-среде

🔍 Что делать:

1. Анализировать подозрительные процессы, даже если они выглядят как kworker
2. Проверить наличие изменений в .bashrc, .profile, cron'ах и unit-файлах systemd
3. Изолировать подозрительные контейнеры и проверить их содержимое на вредоносные бинарники
4. Использовать инструменты типа rkhunter, chkrootkit, Falco, AuditD

🧠 Вывод:

Auto-Color — пример того, насколько сложно может быть обнаружение современных Linux-бэкдоров. Его появление — ещё одно напоминание о необходимости непрерывного мониторинга, Zero Trust подхода и анализе поведения процессов, а не только сигнатур.

📌 Оригинальный анализ

@cpluspluc
www.tg-me.com/hk/C Academy/com.cpluspluc/1086
4.5K views



tg-me.com/cpluspluc/1086
Create:
Last Update:

🐧 Новый бэкдор Auto-Color атакует Linux: как он работает и почему это опасно

Исследователи из Unit 42 (Palo Alto Networks) сообщили об обнаружении нового Linux-бэкдора под названием Auto-Color, отличающегося продвинутыми методами сокрытия и устойчивостью в системе. Он нацелен на серверные инфраструктуры и контейнерные среды.

🛠 Что известно о Auto-Color:

• написан на C/C++, может работать в большинстве современных Linux-дистрибутивов
• использует спуфинг процесса — маскируется под безобидные системные процессы (`kworker`, `cron`)
• поддерживает удалённое выполнение команд и может скачивать/исполнять произвольные бинарники
• при старте внедряется в системные скрипты автозапуска (`~/.bashrc`, rc.local, `systemd`)
• содержит self-delete механизм, чтобы удалить себя после выполнения задачи
• применяет встроенное шифрование конфигурации и команд управления (C2)

🔒 Вектор заражения:

• Auto-Color попадает в систему через:
- вредоносные скрипты в контейнерных образах
- эксплойты для уязвимых веб-приложений
- бэкдоры в CI/CD пайплайнах

💡 Интересные особенности:

• использует нестандартные порты и нестандартные протоколы поверх TCP/UDP
• шифрует коммуникации с C2-сервером с помощью RC4/ChaCha
• хранит свои конфигурации в скрытых файлах dotfiles или шифрованных секциях бинарника

📉 Почему это важно:

• многие системы мониторинга пропускают его из-за обфускации
• он способен действовать неделями незаметно
• наличие встроенной логики persistence делает его опасным в DevOps-среде

🔍 Что делать:

1. Анализировать подозрительные процессы, даже если они выглядят как kworker
2. Проверить наличие изменений в .bashrc, .profile, cron'ах и unit-файлах systemd
3. Изолировать подозрительные контейнеры и проверить их содержимое на вредоносные бинарники
4. Использовать инструменты типа rkhunter, chkrootkit, Falco, AuditD

🧠 Вывод:

Auto-Color — пример того, насколько сложно может быть обнаружение современных Linux-бэкдоров. Его появление — ещё одно напоминание о необходимости непрерывного мониторинга, Zero Trust подхода и анализе поведения процессов, а не только сигнатур.

📌 Оригинальный анализ

@cpluspluc

BY C++ Academy




Share with your friend now:
tg-me.com/cpluspluc/1086

View MORE
Open in Telegram


C Academy Telegram | DID YOU KNOW?

Date: |

Export WhatsApp stickers to Telegram on iPhone

You can’t. What you can do, though, is use WhatsApp’s and Telegram’s web platforms to transfer stickers. It’s easy, but might take a while.Open WhatsApp in your browser, find a sticker you like in a chat, and right-click on it to save it as an image. The file won’t be a picture, though—it’s a webpage and will have a .webp extension. Don’t be scared, this is the way. Repeat this step to save as many stickers as you want.Then, open Telegram in your browser and go into your Saved messages chat. Just as you’d share a file with a friend, click the Share file button on the bottom left of the chat window (it looks like a dog-eared paper), and select the .webp files you downloaded. Click Open and you’ll see your stickers in your Saved messages chat. This is now your sticker depository. To use them, forward them as you would a message from one chat to the other: by clicking or long-pressing on the sticker, and then choosing Forward.

What is Telegram?

Telegram’s stand out feature is its encryption scheme that keeps messages and media secure in transit. The scheme is known as MTProto and is based on 256-bit AES encryption, RSA encryption, and Diffie-Hellman key exchange. The result of this complicated and technical-sounding jargon? A messaging service that claims to keep your data safe.Why do we say claims? When dealing with security, you always want to leave room for scrutiny, and a few cryptography experts have criticized the system. Overall, any level of encryption is better than none, but a level of discretion should always be observed with any online connected system, even Telegram.

C Academy from hk


🐧 Новый бэкдор Auto-Color атакует Linux: как он работает и почему это опасноИсследователи из Unit 42 (Palo Alto Networks) сообщили об обнаружении нового Linux-бэкдора под названием Auto-Color

 C++ Academy TG
Webview: 1086
C++ Academy.Telegram Webview
C++ Academy Telegram TG Channel
Telegram Updated:
Telegram C++ Academy
FROM USA