- 22,779
- 46
- 8 Ноя 2022
ИИ-охота на угрозы впервые вывела на свет GhostPenguin — новый мощный Linux-имплант с RC5-шифрованием.
Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.
Разработчики GhostPenguin внедрили многоступенчатую схему связи с C&C-сервером: сначала бекдор запрашивает у управляющего сервера 16-байтовый идентификатор сессии, затем использует его как ключ для RC5 и только после успешного рукопожатия переходит к передаче команд. Вредоносный код поддерживает десятки операций — от создания, удаления и модификации файлов до запуска удалённой оболочки /bin/sh — и работает над UDP поверх собственной системы подтверждений, чтобы компенсировать потерю пакетов. Параллельно запущенные потоки отвечают за heartbeat, приём команд и отправку данных, а также за повторную передачу не подтверждённых пакетов.
GhostPenguin также ведёт себя как аккуратный «хозяин» системы: проверяет, запущен ли другой экземпляр, создавая lock-файл .temp в домашнем каталоге, и завершает работу при дублировании. Несмотря на обширный набор функций, исследователи нашли неопубликованные фрагменты кода, отладочную конфигурацию и неиспользуемые функции персистентности, что говорит о продолжающейся разработке. В сочетании с обфускацией, нестандартной коммуникацией и малошумным поведением это позволяет вредоносу оставаться незамеченным — до тех пор, пока анализ не автоматизирован.
Trend Research раскрыла, что обнаружение GhostPenguin стало возможным благодаря их многоэтапному ИИ-конвейеру : сбор артефактов, построение YARA- и VT-запросов, автоматическое профилирование через IDA Pro, анализ CAPA, FLOSS и комплексная оценка ИИ-агентами Quick Inspect и Deep Inspector. Такая система позволяет систематически отлавливать даже полностью новые семейства угроз, которые не используют открытый код и не совпадают с известными образцами. Trend Vision One уже детектирует и блокирует IoC, связанные с GhostPenguin, предоставляя клиентам запросы для охоты, технические отчёты и свежую разведывательную информацию.
Специалисты подчёркивают: современная охота на угрозы невозможна без сочетания автоматизации, ИИ и глубокой экспертизы. Малообнаруживаемые вредоносы — одна из самых трудных категорий для анализа, и только гибридный подход позволяет вычленить такие угрозы из огромного массива данных.
История GhostPenguin демонстрирует, что разработчики вредоносного ПО всё чаще создают новые архитектуры с нуля, избегая шаблонов и готовых библиотек, — а защитникам приходится отвечать повышением уровня автоматизации и внедрением инструментов, способных замечать малейшие аномалии. Благодаря этому GhostPenguin перестал быть «невидимкой» и стал наглядным примером того, как ИИ помогает раскрывать самые скрытные угрозы.
Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.
Разработчики GhostPenguin внедрили многоступенчатую схему связи с C&C-сервером: сначала бекдор запрашивает у управляющего сервера 16-байтовый идентификатор сессии, затем использует его как ключ для RC5 и только после успешного рукопожатия переходит к передаче команд. Вредоносный код поддерживает десятки операций — от создания, удаления и модификации файлов до запуска удалённой оболочки /bin/sh — и работает над UDP поверх собственной системы подтверждений, чтобы компенсировать потерю пакетов. Параллельно запущенные потоки отвечают за heartbeat, приём команд и отправку данных, а также за повторную передачу не подтверждённых пакетов.
GhostPenguin также ведёт себя как аккуратный «хозяин» системы: проверяет, запущен ли другой экземпляр, создавая lock-файл .temp в домашнем каталоге, и завершает работу при дублировании. Несмотря на обширный набор функций, исследователи нашли неопубликованные фрагменты кода, отладочную конфигурацию и неиспользуемые функции персистентности, что говорит о продолжающейся разработке. В сочетании с обфускацией, нестандартной коммуникацией и малошумным поведением это позволяет вредоносу оставаться незамеченным — до тех пор, пока анализ не автоматизирован.
Trend Research раскрыла, что обнаружение GhostPenguin стало возможным благодаря их многоэтапному ИИ-конвейеру : сбор артефактов, построение YARA- и VT-запросов, автоматическое профилирование через IDA Pro, анализ CAPA, FLOSS и комплексная оценка ИИ-агентами Quick Inspect и Deep Inspector. Такая система позволяет систематически отлавливать даже полностью новые семейства угроз, которые не используют открытый код и не совпадают с известными образцами. Trend Vision One уже детектирует и блокирует IoC, связанные с GhostPenguin, предоставляя клиентам запросы для охоты, технические отчёты и свежую разведывательную информацию.
Специалисты подчёркивают: современная охота на угрозы невозможна без сочетания автоматизации, ИИ и глубокой экспертизы. Малообнаруживаемые вредоносы — одна из самых трудных категорий для анализа, и только гибридный подход позволяет вычленить такие угрозы из огромного массива данных.
История GhostPenguin демонстрирует, что разработчики вредоносного ПО всё чаще создают новые архитектуры с нуля, избегая шаблонов и готовых библиотек, — а защитникам приходится отвечать повышением уровня автоматизации и внедрением инструментов, способных замечать малейшие аномалии. Благодаря этому GhostPenguin перестал быть «невидимкой» и стал наглядным примером того, как ИИ помогает раскрывать самые скрытные угрозы.
- Источник новости
- www.securitylab.ru
