黑客开发Linux恶意程序的情况，最近两年越来越频繁，其中又以针对VMware虚拟化平台而来的勒索软件较为常见，但如今，有人运用这方面的技术、锁定特定厂牌的防火墙系统打造恶意软件。

英国国家网络安全中心（NCSC）近日揭露名为Pygmy Goat的后门程序，他们在Sophos XG防火墙设备找到这支恶意软件，此为32比特x86的ELF共用对象文件，攻击者设置LD_PRELOAD环境变量，从而通过SSH daemon（sshd）二进位文件加载。

巧合的是，10月底Sophos才发布名为Pacific Rim的调查报告，指出该公司针对中国黑客近5年专门对边界网络设备发动攻击进行追踪，其中一种被锁定的设备就是该厂牌的防火墙。这样的情况，不禁让人联想到中国黑客。

虽然NCSC并未透露使用Pygmy Goat从事攻击行动的人士身分，但提及该恶意程序与另一支名为Castletap具备类似的战术、手段、流程（TTP），经过资安业者Mandiant分析，使用Castletap的攻击者身分很有可能就是中国黑客，这样的情况，很难不让人联想Pygmy Goat也与中国黑客有关。

针对这个恶意程序的特性，NCSC指出，Pygmy Goat会产生使用ICMP协定的原生Socket，用来监控流入的封包，并在与C2连接的过程里，使用AES加密的TCP封包，回传IP位址及连接端口信息。

再者，此恶意程序滥用LD_PRELOAD挂钩Socket的特定功能，偷看特定SSH连接端口的流入流量，并重复使用这种连接机制与C2通信。另一方面，这支恶意程序还嵌入署名为FortiGate, Fortinet Ltd发布的CA凭证，想要冒充FortiGate防火墙而趁机到其他台FortiGate当中运行，创建与C2之间的TLS连接。

一旦上述连接创建成功，攻击者就能通过C2创建远程Shell、启动封包截取、产生cron工作调度，或是设置SOCKS反向代理服务器，而能发送流量到防火墙后方的其他设备。