针对Linux的隐形杀手:QLNX无文件化RAT,七种持久化机制直击企业服务器

安全研究人员发现一种名为Quasar Linux RAT(QLNX)的新型Linux恶意软件,主要针对开发者与DevOps环境。该恶意代码能窃取凭证、记录键盘输入、操控文件、监控剪贴板活动,并创建用于远程访问的网络隧道。专家警告称,通过攻击软件开发工作流中的系统,该木马将带来严重的供应链风险。趋势微发布的报告指出:"Quasar Linux RAT(QLNX)是功能完备的Linux植入程序,集远程访问能力与高级规避、持久化、键盘记录及凭证窃取功能于一体。其二进制文件中以字符串形式嵌入了PAM后门和LD_PRELOAD rootkit的C源代码,会使用gcc在目标主机动态编译rootkit共享对象和PAM后门模块,然后通过/etc/ld.so.preload部署实现系统级拦截。"内存驻留与高级规避技术
QLNX是功能强大的Linux远程访问木马,其直接运行于内存以避免检测,使用eBPF隐藏活动痕迹,清除日志并检查是否运行在容器化环境中。该木马通过恶意PAM模块收集系统详情、剪贴板数据、shell历史记录、SSH密钥、Firefox配置文件及凭证等广泛信息。QLNX通过加密通道与攻击者通信,支持远程shell访问、文件管理、代码注入、屏幕截图、键盘记录、SOCKS代理和网络隧道等多种命令。该恶意软件还包含多种持久化方法,可在系统重启后保持存活,维持对受感染Linux系统的长期访问。无文件化运行与系统伪装
QLNX是设计精良的Linux恶意软件,完全在内存中运行避免磁盘留痕。执行后,它会使用memfd_create将自身复制到RAM支持的文件中,删除原始二进制文件,并通过execveat或/proc/self/fd/<memfd>直接从内存重新启动。它使用_MFD_RE环境变量防止无限重新执行循环。随后恶意软件会分析受感染系统,检查权限、内核版本、SELinux状态、容器化情况、GCC可用性、X11访问权限及进程注入或键盘记录支持情况,根据结果选择性启用功能。为规避检测,QLNX伪装成[kworker/0:0]等合法内核线程,并重写ps、top和/proc中可见的进程元数据。它还清除取证环境变量,并通过在/tmp创建虚假X11锁定文件防止多实例运行。命令控制与持久化机制
建立连接后,QLNX初始化58个命令处理器,通过自定义TLS协议、HTTPS或HTTP连接C2服务器。其发送的信标包含系统详情、权限级别、地理位置、机器指纹、主机名和网络数据。该恶意软件支持包括shell访问、文件管理、持久化、凭证窃取、SSH横向移动、屏幕截图、键盘记录、rootkit、SOCKS代理、端口转发、日志清除、PAM凭证钩子、eBPF隐藏和内存中BOF执行等丰富的入侵后功能。QLNX支持原始TCP、HTTPS和HTTP三种通信通道,均采用相同二进制命令协议。TCP和HTTPS受TLS保护,而HTTP在分析或回退场景下使用明文传输。每个会话以4字节魔数**"QLNX"(0x51 4C 4E 58)**开始,用于标识和初始化协议。在TCP/TLS模式下,它嵌入在初始检入数据包中;在HTTPS/HTTP中,它作为独立负载发送或编码在请求中。此后服务器会响应会话状态数据(如cookies或ID)。在默认原始TLS模式下,QLNX在禁用证书验证后使用自定义长度前缀二进制协议。四步握手后建立全双工通信,随后形成持久命令循环。对于HTTP/HTTPS,恶意软件使用POST请求发送Base64编码数据,每五秒通过GET请求轮询命令。会话跟踪依赖服务器生成的十六进制ID,通过URL和cookies传递。在联系C2前,它会查询ip-api.com获取地理位置数据,连同源自系统标识符的机器指纹一并包含在初始注册数据包中。注册后,服务器在启用命令执行前发送ACK和确认数据包。若无可用命令,响应保持为空;否则Base64编码的有效负载会被解码,通过处理程序表分发,本地执行后将结果返回C2。持久化子系统包含systemd服务、cron作业、init脚本、XDG自动启动条目和基于LD_PRELOAD的注入等七种机制。所有组件均标记"QLNX_MANAGED"以便追踪。高级攻击能力与P2P网络
LD_PRELOAD持久化尤为激进:编译的共享库被注入所有动态链接进程,确保任何程序执行时都能重新感染。即使ls或ps等基本命令,只要preload条目存在就会重新激活恶意软件。QLNX还实现两个在目标系统编译的PAM后门,支持凭证窃取和认证拦截。日志存储在隐藏文件中并可选择外传。报告补充说明:"QLNX内置具有内联钩子的PAM后门,可在认证期间拦截明文凭证。它使用硬编码主密码O$f$QtYJK,并通过XOR加密将窃取的凭证存储至/var/log/.ICE-unix。"用户态rootkit通过LD_PRELOAD挂钩libc函数隐藏文件、进程和二进制文件,而可选的eBPF控制器则操纵内核映射表在内核级隐藏进程、文件和端口。最后,凭证窃取模块会提取SSH密钥、浏览器数据、云令牌、开发者凭证、系统密钥和剪贴板内容,实现对开发和云环境的完全控制。QLNX包含点对点(P2P)网状网络功能,将受感染主机相互链接,使单个植入程序形成分布式网络。这种设计增强了韧性,即使部分命令基础设施中断,恶意软件仍能保持通信与协调,大幅提升环境中的彻底清除难度。报告总结指出:"QLNX植入程序专为长期隐蔽和凭证窃取而设计。其真正危险之处不在于任何单一功能,而在于各项能力如何串联成连贯的攻击工作流:入侵后从磁盘擦除,通过六种冗余机制持久化,同时在用户空间和内核级隐藏,然后窃取最关键凭证。rootkit、能静默拦截明文密码的PAM后门,以及允许植入程序相互中继的P2P网状网络相结合,极大增加了检测与根除的难度。"参考来源:
Quasar Linux RAT (QLNX): A Fileless Linux Implant Built for Stealth and Persistence
https://securityaffairs.com/191898/malware/quasar-linux-rat-qlnx-a-fileless-linux-implant-built-for-stealth-and-persistence.html
电报讨论