利用AI自动化工具发现零检测的GhostPenguin后门攻击Linux服务器

新型Linux后门程序被发现

研究人员发现了一个名为GhostPenguin的Linux后门程序，该恶意软件在过去四个月中成功规避了安全检测。这款采用C++编写的多线程恶意软件通过加密UDP协议建立远程shell访问和文件系统操作，使其难以被传统安全工具发现。

该恶意软件是通过一个先进的威胁追踪管道被发现的，该管道利用人工智能分析零检测样本。GhostPenguin从2025年7月7日起在VirusTotal平台上一直未被检测到，直到最近才被发现。

精心设计的隐蔽通信机制

GhostPenguin的出现展示了防御者在追踪从头设计的低检测率恶意软件时面临的挑战。该后门程序在受感染主机与命令控制服务器之间使用最小数据传输，进一步增加了检测难度。

趋势微安全分析师发现，该恶意软件采用多阶段架构和安全通信渠道，除非通信序列完全按预期展开，否则不会暴露后续阶段。

检测规避与感染机制

GhostPenguin采用RC5加密算法，使用在与命令控制服务器初始握手时获取的16字节会话ID。恶意软件最初通过包含占位ID的未加密UDP数据包发送会话请求，服务器随后会替换为实际加密密钥。

该会话ID将作为所有后续通过UDP端口53通信的RC5加密密钥。执行时，恶意软件会通过获取当前用户主目录和可执行路径来解析其执行上下文。

持久化与命令执行

恶意软件会在用户主目录创建名为.temp的文件，其中包含其进程ID以防止多实例同时运行。它通过kill(pid, 0)检查存储的PID是否对应活动进程来验证是否存在其他实例。

该恶意软件通过四阶段工作流程建立通信：初始化、会话ID请求、注册、系统信息传输（IP地址、主机名、操作系统版本和架构）、监听状态、每500毫秒通过心跳信号维持连接以及任务执行和命令处理。

受感染系统可执行约40种不同命令，从远程shell操作到全面的文件和目录操作。所有数据传输都被分割成多个数据包以适应UDP负载限制，未确认的数据包会自动重传直到服务器确认接收。