Quasar Linux, còn được gọi là QLNX, là một biến thể mã độc ransomware và Linux malware đang nhắm vào nhà phát triển phần mềm và kỹ sư DevOps. Đây là một mối đe dọa mạng có mức độ tinh vi cao, với cơ chế hoạt động gần như hoàn toàn trong bộ nhớ để né tránh phát hiện.
Quasar Linux và mô hình tấn công trên Linux
QLNX được phát hiện như một Linux malware dạng tự chứa, phát tán dưới dạng một binary đơn lẻ nhưng không dừng lại ở hành vi thông thường. Sau khi thực thi, nó nạp payload vào bộ nhớ, không để lại dấu vết rõ ràng trên hệ thống tập tin và duy trì khả năng bám trụ trong hệ điều hành để thu thập SSH keys, cloud credentials, package registry tokens và mật khẩu lưu trong trình duyệt.
Cách tiếp cận này khiến phát hiện tấn công bằng công cụ dựa trên đĩa trở nên kém hiệu quả. Tài liệu phân tích công khai về mẫu này có thể tham khảo tại GuardSix.
Hệ thống bị nhắm đến
Quasar Linux nhắm đến các máy chạy Debian, Ubuntu, RHEL, Fedora và Arch. Mục tiêu ưu tiên là các workstation của nhà phát triển và các host phục vụ CI/CD, nơi lưu giữ thông tin xác thực có giá trị cao cho chuỗi cung ứng phần mềm.
Một máy bị xâm nhập không chỉ là một endpoint đơn lẻ. Nó có thể trở thành điểm vào cho kho mã nguồn, pipeline build và hạ tầng đám mây, làm gia tăng rủi ro bảo mật trên toàn bộ môi trường phát triển.
Cơ chế fileless và thực thi trong bộ nhớ
QLNX khác với nhiều mối đe dọa Linux truyền thống vì không phụ thuộc vào các thành phần cố định trên ổ đĩa. Malware tạo file tồn tại tạm thời trong bộ nhớ, ghi payload thật vào đó, thực thi, rồi xóa file gốc khỏi disk.
Do tiến trình đang chạy không còn file tương ứng trên filesystem, các giải pháp antivirus dựa trên quét đĩa gần như không có gì để xử lý. Đây là đặc trưng của fileless execution, một kỹ thuật thường làm tăng độ khó cho phát hiện xâm nhập và phân tích forensics.
Ẩn danh bằng giả mạo tiến trình
QLNX còn đổi tên tiến trình để giả mạo các kernel worker thread như [kworker/0:0] hoặc [migration/0]. Cách này nhằm làm giảm khả năng bị chú ý khi kiểm tra nhanh tiến trình đang chạy.
Tuy nhiên, thread kernel hợp lệ không nên có kết nối mạng kiểu user-space hoặc có parent process là ứng dụng người dùng bình thường. Điểm bất thường này là dấu hiệu hữu ích trong IDS và điều tra sự cố.
QLNX và chuỗi thực thi gồm 6 giai đoạn
Theo phân tích, Quasar Linux vận hành qua 6 giai đoạn được sắp xếp để tránh để lại bằng chứng rõ ràng. Malware tạo file chỉ tồn tại trong memory, ghi payload, thực thi payload, rồi xóa dấu vết gốc khỏi disk.
Luồng hoạt động này giúp nó vượt qua nhiều lớp kiểm tra thông thường, đặc biệt là các giải pháp chỉ dựa vào IOC tĩnh hoặc chữ ký file.
Framework điều khiển từ xa
GuardSix mô tả QLNX là một framework remote access gồm 58 lệnh, được thiết kế để né tránh các lớp phòng thủ endpoint Linux truyền thống. Mô hình này cho phép kẻ tấn công thu thập dữ liệu, duy trì quyền truy cập và mở rộng kiểm soát sau khi xâm nhập ban đầu thành công.
Kỹ thuật rootkit và biên dịch tại runtime
Điểm đáng chú ý của Quasar Linux là khả năng thích ứng với gần như mọi hệ thống Linux bị nhiễm. Thay vì mang theo các thành phần đã biên dịch sẵn, malware nhúng raw C source code và dùng chính compiler trên máy nạn nhân để build custom rootkit ngay lúc chạy.
Do mỗi host tạo ra một file khác nhau, phát hiện dựa trên signature tĩnh thất bại. Đây là một điểm điển hình của khai thác zero-day theo hướng né tránh nhận diện, dù nội dung gốc không gắn với một CVE cụ thể.
Biên dịch bằng gcc cục bộ
Rootkit và PAM backdoor được compile dựa trên kernel headers cục bộ bằng gcc của nạn nhân. Kết quả là mỗi máy tạo ra một shared object riêng, làm giảm đáng kể hiệu quả của việc so khớp hash hoặc mẫu nhị phân cố định.
gcc -shared -fPIC -o libmalicious.so rootkit.c pam_backdoor.c -I/lib/modules/$(uname -r)/build/includeCấu trúc này khiến việc kiểm tra bằng công cụ quét file truyền thống không còn đủ, vì artifact độc hại được sinh ra động trong ngữ cảnh runtime.
Persistence và lan truyền ngang
Shared object sau khi được build sẽ được nạp trên toàn hệ thống bằng cách sửa đổi file cấu hình khiến tiến trình mới sinh ra phải tải library độc hại. Đây là cơ chế persistence có ảnh hưởng sâu tới an toàn thông tin của môi trường Linux.
Ngoài ra, QLNX còn thiết lập một peer-to-peer mesh giữa các host bị nhiễm. Khi một node điều khiển bị gỡ bỏ, các node còn lại vẫn có thể duy trì kết nối và hỗ trợ tái nhiễm các máy đã được làm sạch một phần.
Dấu hiệu xâm nhập cần chú ý
- Tiến trình có tên giống kworker nhưng lại có kết nối mạng user-space.
- Tiến trình không còn file tương ứng trên filesystem.
- Các thay đổi bất thường trong file cấu hình nạp library toàn hệ thống.
- Host phát sinh shared object mới được biên dịch tại runtime.
- Máy phát triển có truy cập bất thường tới repo, pipeline hoặc cloud credentials.
Ảnh hưởng hệ thống và rủi ro bảo mật
Quasar Linux tạo ra rủi ro bảo mật vượt xa một workstation bị nhiễm. Khi xâm nhập thành công, attacker có thể truy cập source repository, can thiệp vào quy trình build, phát hành package độc hại hoặc pivot sang hạ tầng đám mây.
Điều này làm tăng nguy cơ rò rỉ dữ liệu nhạy cảm, đánh cắp thông tin xác thực và làm sai lệch chuỗi cung ứng phần mềm. Với môi trường DevOps, ảnh hưởng thường lan rộng thay vì chỉ dừng ở một máy chủ hay một tài khoản người dùng.
IOC và chỉ dấu theo dõi
Nội dung gốc không cung cấp danh sách IOC định danh cụ thể như hash, IP, domain hoặc filename cố định. Vì vậy, các chỉ dấu dưới đây được trích xuất ở mức hành vi và kỹ thuật từ Linux malware này:
- Fileless execution và payload chạy trong memory.
- Giả mạo tiến trình kiểu kernel worker thread.
- Biên dịch rootkit tại runtime bằng gcc cục bộ.
- Modifying preload/library configuration để duy trì persistence.
- Peer-to-peer mesh giữa các host bị nhiễm.
Biện pháp xử lý và làm sạch
GuardSix cho rằng cách xử lý đáng tin cậy nhất là reimage toàn bộ hệ điều hành từ một image sạch đã được xác minh. Với Quasar Linux, cleanup một phần có thể để lại thành phần ẩn ở mức kernel, đặc biệt khi eBPF rootkit chưa được loại bỏ hoàn toàn.
Nếu chưa thể reimage ngay, cần cô lập đồng thời toàn bộ host nghi ngờ khỏi mạng. Việc gỡ từng máy một có thể cho phép mesh node còn sống tái nhiễm các máy đã được làm sạch.
Các bước kiểm tra kỹ thuật
- Gỡ các file persistence đã biết.
- Xóa cấu hình preload library độc hại.
- Thu thập log liên quan đến credential đã mã hóa để phân tích forensics.
- Rà soát thay đổi ở cấp kernel và shared object được build tại chỗ.
- Kiểm tra kết nối mạng bất thường từ tiến trình giả mạo kernel thread.
Giảm thiểu rủi ro trên máy phát triển
Để giảm tác động của mối đe dọa mạng này, cần hạn chế C compiler trên các hệ thống không bắt buộc phải có. Nếu máy không cần build tại chỗ, việc loại bỏ hoặc kiểm soát gcc có thể ngăn QLNX biên dịch rootkit.
Song song với đó, cần phân đoạn workstation của nhà phát triển để phá vỡ peer-to-peer mesh. Việc giám sát chặt các file cấu hình hệ thống mức thấp và xoay vòng toàn bộ credentials sau khi xác nhận nhiễm là các bước quan trọng trong an ninh mạng.
Thông tin nền về một số kỹ thuật Linux backdoor liên quan có thể đối chiếu thêm trên NVD tại nvd.nist.gov.
